Интерактивная карта
| Направление | Тип | Класс | PS инструменты | OSS инструменты |
|---|---|---|---|---|
| AppSec | SAST | Статический анализатор | BlackDuckОписание: Статический анализ безопасности приложений (SAST) для раннего обнаружения уязвимостей в коде. Интегрируется в IDE, CI/CD и облачные среды. Поддерживает 20+ языков и 200+ фреймворков. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Synopsys Лицензия: Подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Скорее всего нет Форматы отчетов: PDF, HTML, JSON, SARIF Методы обнаружения: OWASP Top 10, CWE Ссылка: https://www.blackduck.com/static-analysis-tools-sast.html |
BanditОписание: Статический анализатор безопасности Python-кода. Проводит синтаксический анализ, строит AST и применяет правила проверки к узлам дерева. По результатам анализа генерирует отчет о выявленных уязвимостях. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Нет Лицензия: Apache License Version 2.0 Категория: OSS Версия / издание: 1.9 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: csv, custom, html, json, sarif, screen, text, xml, yaml Методы обнаружения: CWE |
SASTAVОписание: Российское решение для статического анализа исходного кода, используемое на самых ранних этапах разработки и встраиваемое в SDLC для оптимизации и автоматизации процесса безопасной разработки. Поддерживает следующие языки: ASP, C/С++, C#, Go, Groovy, Java, JavaScript, Kotlin, Lua, Objective-C, PHP, PLSQL, Perl, Python, Ruby, Scala, Swift, VB6, VbNet, VbScript. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: ООО "ПАЙНАП" Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Информация не найдена Ссылка: https://sastav.ru/ |
WeggliОписание: Инструмент для семантического поиска по C/C++-коду с помощью шаблонов, основанных на синтаксисе языка. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Нет Лицензия: Apache License Version 2.0 Категория: OSS Версия / издание: v0.2.4 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: text Методы обнаружения: CWE |
|||
Solar appScreener (SAST)Описание: Комплексное решение, сочетающее возможности статического (SAST), динамического (DAST) анализа, анализа состава ПО (SCA) и анализа цепочки поставок (SCS). Помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки. Технологии анализа исполняемых файлов позволяют применять SAST, даже когда разработка закончена и нет возможности проанализировать исходный код проекта. Поддерживает следующие языки: Java, JavaScript, Java for Android, Solidity, Ruby, VBScript, Rust, Dart, TypeScript, Groovy, ABAP, Perl, Scala, Apex, PL/SQL, HTML5, Python, T/SQL, C/C++, Objective-C, COBOL, Pascal, Go, JSP, Kotlin, Visual Basic 6.0, VBA, PHP, Delphi, 1С, C#, LotusScript, Swift, Vyper. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: АО «СОЛАР СЕКЬЮРИТИ» Лицензия: Enterprise Категория: PS Версия / издание: 3.15.5 Сертификация ФСТЭК: Есть, сертификат ФСТЭК России №4825 от 3.06.2024 Доступность в РФ: Доступен Форматы отчетов: HTML, PDF, CSV, DOCX, SARIF, JSON, отправка по почте Методы обнаружения: OWASP Top 10, БДУ ФСТЭК России, PCI Security Standards Council, HIPAA Compliance, SANS CWE, ОУД4, CWE |
tfsecОписание: Сканер безопасности для статического анализа кода Terraform Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Aqua Security Лицензия: MIT License Категория: OSS Версия / издание: v1.28.14 Сертификация ФСТЭК: нет Доступность в РФ: Доступен Форматы отчетов: lovely, json, csv, checkstyle, junit, sarif, text, markdown, html, gif Методы обнаружения: CWE |
|||
PT Application InspectorОписание: PT Application Inspector — российский инструмент анализа безопасности приложений, сочетающий статический, динамический, интерактивный анализ и проверку компонентов. Поддерживает автоматическую верификацию уязвимостей, гибкое масштабирование и развёртывание on-premise. Работает с Java, JavaScript, C#, Kotlin, Python, PHP, PL/SQL и др. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Positive Technologies Лицензия: Подписка Категория: PS Версия / издание: 5.0.0 Сертификация ФСТЭК: Сертификат ФСТЭК России №4000 от 03.09.2018 Доступность в РФ: Доступен Форматы отчетов: JSON, XML, HTML Методы обнаружения: OWASP Top 10, PCI DSS, NIST 800-53 Rev.4, SANS Top 25, ОУД4 |
PMDОписание: PMD — статический анализатор исходного кода, поддерживающий языки: Java, Apex, Visualforce, JavaScript, XML, XSL, PLSQL, Velocity, Scala, Kotlin, JSP, Salesforce.com, Ecmascript, Modelica и Python. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Нет Лицензия: BSD-Style License Категория: OSS Версия / издание: 7.19.0 Сертификация ФСТЭК: нет Доступность в РФ: Доступен Форматы отчетов: csv, html, json, sarif, text, xml Методы обнаружения: CWE Ссылка: https://github.com/pmd/pmd |
|||
CheckMarxОписание: Checkmarx CxSAST — промышленный статический анализатор, ориентированный на безопасность приложений. Отличается глубокой интеграцией с CI/CD, масштабируемостью для крупных разработческих команд и расширяемыми правилами анализа. Поддерживает более 25 языков, включая Java, JavaScript, C#, C/C++, Python, Go, Ruby, Swift и Kotlin. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Checkmarx Лицензия: Информация не найдена Категория: PS Версия / издание: 9.7.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, RTF, CSV, XML Методы обнаружения: OWASP Top 10, CWE |
TerrascanОписание: Terrascan — инструмент для статического анализа IaC-кода: Terraform, Kubernetes, Helm, Kustomize, Dockerfile, CloudFormation и Azure ARM.Проверяет конфигурации на соответствие политикам безопасности (встроенным и кастомным на Rego/OPA). Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Tenable Лицензия: Apache 2.0 License Категория: OSS Версия / издание: 1.19.9 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, yaml, xml, junit-xml, sarif, github-sarif Методы обнаружения: CWE |
|||
KlockworkОписание: Klocwork — промышленный статический анализатор для C, C++, C#, Java. Оптимизирован для работы с монорепозиториями и масштабируемых проектов. Предлагает инкрементальный анализ, быстрый отклик при работе с большими кодовыми базами и интеграцию с IDE, CI/CD и issue-трекингами. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Perforce Категория: PS Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен |
JoernОписание: Joern — платформа для SAST-анализа, строит Code Property Graph (CPG) для C, C++, Java, JavaScript, JVM-байткода, x86-бинарей, Python, Kotlin, PHP, Go, Ruby, Swift, C#. Позволяет писать запросы для поиска уязвимостей. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Joernio Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 4.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: dot, neo4jcsv, graphml, graphson, json Методы обнаружения: CVE, CWE Ссылка: https://github.com/joernio/joern |
|||
SonarQube EEОписание: SonarQube Enterprise Edition — платформа для анализа качества и безопасности исходного кода с поддержкой более 30 языков, включая Java, JavaScript, TypeScript, C#, C/C++, Python, PHP, Go. Предоставляет визуализацию технического долга, интеграцию с DevOps-платформами и собственный механизм контроля качества. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: SonarSource Лицензия: Trial, Enterprise Категория: PS Версия / издание: 3.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, JSON, XML, CSV Методы обнаружения: CWE, OWASP Top 10, SANS Top 25 Ссылка: https://www.sonarsource.com/plans-and-pricing/enterprise/ |
kicsОписание: KICS — SAST-инструмент для IaC (Terraform, Kubernetes, Docker, CloudFormation, Ansible, Helm, OpenAPI), позволяет писать/редактировать запросы для обнаружения misconfig и уязвимостей. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Checkmarx Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 2.1.17 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: asff, csv, cyclonedx, glsast, html, json, junit, pdf, sarif, sonarqube Методы обнаружения: CWE |
|||
ИСП РАН SvaceОписание: Инструмент для C, C++, Java, Kotlin, Go, Python, Scala, Visual Basic .NET. Предназначен для критичных систем. Обеспечивает семантический анализ и поддержку аннотаций. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: ИСП РАН Лицензия: Лицензия на год, тестовая лицензия Категория: PS Версия / издание: 4.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: text, SARIF, XML, JSON Методы обнаружения: CWE |
Retire.jsОписание: Retire.js — сканер уязвимых JavaScript/Node.js библиотек, работает как CLI-инструмент, расширение для браузеров, Grunt/Gulp-плагины и интеграции с Burp/ZAP. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: RetireJS Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 5.4 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: text, json, cyclonedx Методы обнаружения: CVE |
|||
PVS-StudioОписание: Анализатор для C, C++, C#, Java. Поддерживает IDE и CI/CD. Ориентирован на производительность и точность диагностики. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: ООО "ПВС" Лицензия: Team, Enterprise 30, Enterprise (calculated) Категория: PS Версия / издание: 7.39 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, XML, HTML, CSV Методы обнаружения: MISRA Compliance, OWASP ASVS, OWASP Top 10, AUTOSAR, CWE Ссылка: https://pvs-studio.ru/ |
CodeQLОписание: CodeQL — платформа для анализа безопасности и качества кода от GitHub, поддерживает множество языков; позволяет писать запросы на QL для поиска уязвимостей. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: GitHub Лицензия: MIT License Категория: OSS Версия / издание: 2.23.6 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: sarif, csv, html, json, xml Методы обнаружения: CWE, CVE, OWASP Top 10 Ссылка: https://github.com/github/codeql |
|||
GitLab SASTОписание: Встроенный модуль анализа в CI/CD. Использует сторонние движки. Поддерживает десятки языков. Отчёты доступны в веб-интерфейсе. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: GitLab Лицензия: Подписка Категория: PS Версия / издание: 18.1 Gitlab Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, CSV, SARIF Методы обнаружения: CWE, OWASP Top 10 Ссылка: https://docs.gitlab.com/user/application_security/sast/ |
OsqueryОписание: Osquery — инструмент для мониторинга и анализа операционных систем с помощью SQL-запросов. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Osquery Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 5.17.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, csv Методы обнаружения: CWE, OWASP Top 10 |
|||
AppSec.WaveОписание: Скоростной аудит безопасности кода с помощью искусственного интеллекта Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: ООО "АппСек Солюшенс" Лицензия: Trial, Подписка Категория: PS Версия / издание: 25.4.5 Сертификация ФСТЭК: Нет Доступность в РФ: Да Форматы отчетов: HTML, PDF, JSON, SARIF Методы обнаружения: CWE, OWASP Top 10 Ссылка: https://appsec-wave.ru/ |
bearerОписание: Платформа для обнаружения уязвимостей и инцидентов в приложениях написанных на языках: Go, Java, JavaScript, TypeScript, PHP, Python, Ruby C#, Kotlin, Elixir, VB.Net Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Bearer Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 1.51 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, sarif, junit-xml Методы обнаружения: CWE, OWASP Top 10, SANS Top 25 Ссылка: https://github.com/Bearer/bearer |
|||
Microfocus FortifyНаправление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Microfocus Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Ссылка: https://www.microfocus.com/ru-ru/products/static-code-analysis-sast/overview |
detect-secretsОписание: Инструмент для предотвращения попадания секретов (токены, API-ключи) в Git-репозитории.Сканирует код и историю коммитов. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Yelp Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 1.5.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, txt Методы обнаружения: CWE |
|||
CoverityОписание: Инструмент для анализа C, C++, Java, Python, C#. Подходит для масштабных и safety-critical проектов. Интеграции с CI/CD. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Black Duck Лицензия: Enterprise Категория: PS Версия / издание: 2025.6.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен, но документация не открывается Форматы отчетов: PDF, HTML, JSON, SARIF Методы обнаружения: OWASP Top 10, CWE, MISRA, CERT, PCI DSS, CWE Top 25 Ссылка: https://www.blackduck.com/static-analysis-tools-sast/coverity.html |
js-x-rayОписание: Статический анализатор безопасности JavaScript-кода. Обнаруживает подозрительные шаблоны, небезопасные зависимости и потенциальные уязвимости. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: NodeSecure Лицензия: MIT License Категория: OSS Версия / издание: 10.2.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, html Методы обнаружения: CVE, CWE |
|||
Veracode Static AnalysisОписание: Облачное SAST‑решение для анализа исходного и бинарного кода, ориентированное на корпоративные команды: поддерживает множество языков, интеграцию с IDE и CI/CD, а также детальные отчёты для соответствия требованиям регуляторов. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Veracode Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Скорее всего нет Форматы отчетов: Dashboard, PDF, HTML, CSV, JSON Методы обнаружения: OWASP Top 10, CWE, PCI DSS, ISO/SOC 2 отчётность Ссылка: https://www.veracode.com/products/static-analysis-sast |
CheckovОписание: сканирует облачную инфраструктуру, подготовленную с использованием Terraform, Terraform plan, Cloudformation, AWS SAM, Kubernetes, Helm charts, Kustomize,Dockerfile, Serverless, Bicep, OpenAPI, шаблонов ARM или OpenTofu, и обнаруживает ошибки в настройках безопасностии соответствия требованиям с помощью сканирования на основе графиков. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: PANW AppSec Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 3.2 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: cli, json, junit-xml, sarif, github-sarif, csv Методы обнаружения: CWE, CIS, NIST, PCI DSS, HIPAA, SOC 2 |
|||
Snyk CodeОписание: Компонент платформы Snyk для статического анализа, предоставляющий разработчикам мгновенную обратную связь в IDE и CI/CD по уязвимостям в Java, JavaScript, TypeScript, C#, Python, Go и других языках. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Snyk Лицензия: Подписка (SaaS) Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON, SARIF Методы обнаружения: CWE, OWASP Top 10 |
SemgrepОписание: Semgrep — универсальный SAST‑инструмент с поддержкой правил CWE, OWASPTop10, SANS Top25 и кастомных паттернов. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Semgrep Inc Лицензия: LGPL-2.1-or-later Категория: OSS Версия / издание: 1.145.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, junit-xml, sarif, text Методы обнаружения: CWE, OWASP Top 10, SANS Top 25, PCI DSS |
|||
Cycode SASTОписание: Enterprise‑решение SAST в составе платформы Cycode, использующее Risk Intelligence Graph и ИИ‑модели для снижения ложноположительных срабатываний, трассировки от кода до облака и приоритизации уязвимостей. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Cycode Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON, CSV, SARIF Методы обнаружения: CWE, OWASP Top 10, CVSS‑based risk Ссылка: https://cycode.com/blog/top-13-enterprise-sast-tools-for-2026/ |
njsscanОписание: njsscan — сканер безопасности Node.js‑проектов, анализирует AST и сопоставляет паттерны с CWE. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Ajin Abraham a.k.a. "ajinabraham" Лицензия: MIT License Категория: OSS Версия / издание: 0.7.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, html, txt Методы обнаружения: CWE, OWASP Top 10 |
|||
HCL AppScan SourceОписание: Компонент HCL AppScan для статического анализа исходного кода, поддерживающий широкий набор языков и предоставляющий отчёты для соответствия стандартам и регуляторным требованиям. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: HCL Software Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: PDF, HTML, XML, CSV Методы обнаружения: CWE, OWASP Top 10, PCI DSS, HIPAA |
SonarQube CommunityОписание: Платформа статического анализа и контроля качества кода, поддерживающая 30+ языков (Java, C#, JavaScript, TypeScript, Python, C/C++, Go и др.), с правилами для уязвимостей, багов и code smells и интеграцией в CI/CD. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: SonarSource Лицензия: GNU LGPL v3 (Community Edition) Категория: OSS Версия / издание: 10.7 (Community) Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, HTML, JSON, XML, CSV Методы обнаружения: CWE, OWASP Top 10, SANS Top 25 |
|||
Spectral SASTОписание: Коммерческий SAST‑сканер в составе SpectralOps, ориентированный на cloud‑native‑разработку: обнаруживает уязвимости, секреты и misconfig в исходном коде и конфигурациях, интегрируясь в Git и CI/CD. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: SpectralOps (CloudGuard/Snyk экосистема) Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON, SARIF Методы обнаружения: CWE, OWASP Top 10, Secrets detection Ссылка: https://spectralops.io/blog/top-10-static-application-security-testing-sast-tools-in-2025/ |
CppcheckОписание: Статический анализатор для C и C++, ориентированный на поиск ошибок времени выполнения (утечки памяти, выход за пределы массива, некорректное использование стандартной библиотеки) без зависимости от внешних библиотек. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Cppcheck project Лицензия: GPL-3.0 license Категория: OSS Версия / издание: 2.14 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Text, XML, CSV, HTML Методы обнаружения: CWE Ссылка: http://cppcheck.sourceforge.net/ |
|||
AccuKnox SASTОписание: SAST‑модуль платформы AccuKnox, предоставляющий статический анализ исходного кода и IaC с интеграцией в CI/CD и возможностью работы в air‑gapped‑средах для соответствия SOC2 и NIST. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: AccuKnox Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON, SARIF Методы обнаружения: CWE, NIST, PCI DSS |
InferОписание: Статический анализатор от Meta (Facebook) для C, C++, Java и Objective‑C, использующий абстрактную интерпретацию для обнаружения проблем с ресурсами, гонок, NPE и других дефектов до запуска кода. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Meta Лицензия: MIT license Категория: OSS Версия / издание: 1.2.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Text, JSON Методы обнаружения: CWE (частично) |
|||
Aikido Static AnalysisОписание: SAST‑функциональность платформы Aikido Security, выполняющая статический анализ кода и кода‑инфраструктуры с акцентом на простоту развёртывания и интеграцию с Git‑платформами. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Aikido Security Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON Методы обнаружения: CWE, OWASP Top 10 (частично) Ссылка: https://www.aikido.dev/blog/static-code-analysis-tools |
BrakemanОписание: Специализированный SAST‑анализатор для Ruby on Rails, выполняющий анализ приложений без запуска, выявляющий инъекции, XSS, небезопасную сериализацию и другие уязвимости на ранних стадиях. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Brakeman project Лицензия: MIT license Категория: OSS Версия / издание: 6.2.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, JSON, Tabs, Markdown, Text Методы обнаружения: CWE, OWASP Top 10 (частично) |
|||
Codacy SecurityОписание: Коммерческая платформа для анализа качества и безопасности кода с поддержкой десятков языков, интеграций с GitHub, GitLab и Bitbucket и централизованными отчётами по техническому долгу и уязвимостям. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Codacy Лицензия: SaaS, Team/Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON, CSV Методы обнаружения: CWE (через движки), OWASP Top 10 (частично) Ссылка: https://www.codacy.com/ |
PHPStanОписание: Статический анализатор для PHP, выполняющий анализ типов и потоков данных без запуска кода, позволяющий находить ошибки и потенциальные уязвимости в современных PHP‑проектах. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: PHPStan Лицензия: MIT license Категория: OSS Версия / издание: 2.0.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Text, JSON Методы обнаружения: CWE (частично) |
|||
DeepSource Static AnalysisОписание: AI‑усиленный статический анализатор, поддерживающий популярные языки (Python, Go, Java, JavaScript и др.), автоматически предлагающий исправления и снижая шум за счёт приоритизации проблем. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: DeepSource Inc. Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON Методы обнаружения: CWE (частично), Code quality + security rules Ссылка: https://deepsource.com/ |
ESLintОписание: Расширяемый линтер и статический анализатор для JavaScript/TypeScript, позволяющий обнаруживать потенциально опасные конструкции, небезопасные практики и нарушения стиля через наборы правил, включая security‑плагины. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: OpenJS Foundation Лицензия: MIT license Категория: OSS Версия / издание: 9.0.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, Stylish, HTML, JUnit, Checkstyle Методы обнаружения: CWE (через плагины), OWASP Top 10 (частично) Ссылка: https://eslint.org/ |
|||
Mend SASTОписание: Коммерческое SAST‑решение в составе платформы Mend.io (ранее WhiteSource), объединяющее статический анализ кода с SCA и контейнерной безопасностью в единой модели лицензирования. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Mend.io Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON, CSV Методы обнаружения: CWE, OWASP Top 10, PCI DSS Ссылка: https://www.mend.io/blog/best-sast-solutions-how-to-choose-between-the-top-11-tools-in-2025/ |
SpotBugsОписание: Наследник FindBugs для Java, анализирующий байт‑код и выявляющий типичные ошибки и потенциальные уязвимости в приложениях и библиотеках на JVM. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: SpotBugs team Лицензия: LGPL-2.1 license Категория: OSS Версия / издание: 4.9.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: XML, HTML, Text Методы обнаружения: CWE (через плагины), OWASP Top 10 (частично) Ссылка: https://spotbugs.github.io/ |
|||
Xygeni SASTОписание: Выявление уязвимостей в коде Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Xygeni Лицензия: Trial, Подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен (проверить у вендора соответствие санкциям) Форматы отчетов: table Методы обнаружения: CWE, OWASP Top 10, Secrets detection |
YascaОписание: Агрегатор статического анализа, который запускает набор внутренних и внешних линтеров/сканеров для различных языков (C/C++, Java, PHP, JavaScript и др.) и объединяет результаты в единый отчёт. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Yasca project Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 2.1.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, XML, Text, CSV Методы обнаружения: CWE (через плагины) |
|||
Wiz SASTОписание: Встроенный SAST‑сканер в облачной платформе Wiz, использующий Security Graph и AI‑агента для анализа уязвимостей в исходном коде в связке с инфраструктурой, контейнерами и облачными конфигурациями. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Wiz Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON Методы обнаружения: CWE, OWASP Top 10, Cloud context enrichment Ссылка: https://www.wiz.io/academy/application-security/top-open-source-sast-tools |
SonarLintОписание: Плагин для IDE (IntelliJ, VS Code, Eclipse, Visual Studio), выполняющий локальный статический анализ кода на основе правил SonarQube и дающий разработчику моментальную обратную связь о проблемах безопасности и качества. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: SonarSource Лицензия: GNU LGPL v3 Категория: OSS Версия / издание: 10.3 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс IDE Методы обнаружения: CWE, OWASP Top 10 (через профили Sonar) |
|||
ESLint Plugin SecurityОписание: Набор правил безопасности для ESLint, нацеленный на обнаружение уязвимостей в Node.js и браузерном JavaScript: небезопасные вызовы eval, прямой доступ к пользовательскому вводу, небезопасное использование crypto и др. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: Node Security (NSP) Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 1.7.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, Stylish, HTML, JUnit Методы обнаружения: CWE (частично), OWASP Top 10 (частично) Ссылка: https://github.com/nodesecurity/eslint-plugin-security |
||||
ShellCheckОписание: Статический анализатор для bash/sh скриптов, позволяющий выявлять синтаксические и семантические ошибки: некорректное экранирование, ошибки в Conditionals, некорректное использование команд, проблемы при вводе/обработке данных и др. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: koalaman Лицензия: GPL-3.0 license Категория: OSS Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: tty Методы обнаружения: Custom rules |
||||
Shell CGI Static code analysisОписание: Решение Onekey для поиска RCE в CGI скриптах. Позволяет находить атаки вида Command Injection в автоматическом режиме. Направление: AppSec Тип: SAST Класс: Статический анализатор Вендор: OneKey Лицензия: Unknown license Категория: OSS Версия / издание: 0.11.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard Методы обнаружения: Custom rules |
||||
| AppSec | Attack Surface Analysis | Анализ поверхности атаки | PVS StudioОписание: Статический анализатор для C, C++, C# и Java кода. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: ООО "ПВС" Лицензия: Team, Enterprise Категория: PS Версия / издание: 7 Сертификация ФСТЭК: Есть, сертификат ФСТЭК России №9837 от 18.03.2021 Доступность в РФ: Доступен Форматы отчетов: JSON, PVS-Studio Log (Plog), SARIF, Tasks, CSV, HTML, Markdown, TXT Методы обнаружения: CWE, OWASP Top 10, MISRA Ссылка: https://pvs-studio.ru/ |
pyre-checkОписание: Инструмент проверки типов в Python, совместимый с PEP 484. Pyre поставляется с Pysa — инструментом статического анализа, ориентированным на безопасность, который анализирует потоки данных в приложениях Python. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: Meta Platforms, Inc. Лицензия: MIT license Категория: OSS Версия / издание: PEP695 v0 (latest) Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: TXT Методы обнаружения: PEP 484, PEP 695 |
ИСП РАН NatchОписание: Инструмент для определения поверхности атаки, основанный на полносистемном эмуляторе QEMU. Natch предназначен для поиска поверхности атаки (приложений, модулей, функций) в объекте оценки, который может состоять из множества библиотек, программ, контейнеров. Инструмент можно использовать для поиска функций для тестирования, библиотек, которые загружают исследуемые приложения, файлов, в которые попадают заданные входные данные. Собранные данные визуализируются в графическом интерфейсе SNatch, входящем в поставку инструмента. Поддерживает анализ для языков C, C++, Go, Python, Java Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: ИСП РАН Лицензия: На 1 год, тестовая Категория: PS Версия / издание: 3.4 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, JSON Методы обнаружения: Информация не найдена |
FlowDroidОписание: Инструмент для анализа потоков данных. FlowDroid статически вычисляет потоки данных в приложениях для Android и программах на Java. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: Secure Software Engineering (at Paderborn University/ Fraunhofer IEM) Лицензия: LGPL-2.1 license Категория: OSS Версия / издание: 2.14 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: XML Методы обнаружения: Информация не найдена Ссылка: https://github.com/secure-software-engineering/FlowDroid |
|||
QodanaОписание: Qodana — это платформа для контроля качества кода от JetBrains. Она может анализировать код, написанный на более чем 60 языках, включая Java, JavaScript, TypeScript, PHP, Kotlin, Python, Go и C#. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: JetBrains Лицензия: Community (60 дней бесплатно), Ultimate, Ultimate plus Категория: PS Версия / издание: 2025.1 Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, HTML, JSON, SARIF Методы обнаружения: OSV |
airbus-seclab bincatОписание: Статический набор инструментов для анализа двоичного кода. Он может использоваться непосредственно из IDA или с помощью Python для автоматизации. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: Airbus-seclab Лицензия: GNU Affero General Public Licence Категория: OSS Версия / издание: 1.5 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: Информация не найдена |
|||
Microsoft Defender EASMОписание: Модуль External Attack Surface Management в составе Microsoft Defender, обеспечивающий непрерывное обнаружение интернет‑доступных активов, оценку уязвимостей и приоритизацию рисков для облачных и гибридных инфраструктур. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: Microsoft Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, JSON Методы обнаружения: Attack Surface Management, Threat intelligence enrichment Ссылка: https://azure.microsoft.com/en-us/products/defender-external-attack-surface-management |
polytrackerОписание: Инструмент для анализа безопасности, который интегрируется с LLVM и помогает в отслеживании заражения данных, анализе потоков и трассировке. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: Trail of Bits Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 4.0.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: TDAG - бинарный формат, разработанный для инструмента Методы обнаружения: Информация не найдена |
|||
Palo Alto Cortex XpanseОписание: Платформа внешнего управления поверхностью атаки, которая автоматически обнаруживает все интернет‑доступные активы организации и оценивает их уязвимость, используя данные экосистемы Palo Alto Networks. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: Palo Alto Networks Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, CSV, JSON Методы обнаружения: External Attack Surface Management, Risk-based prioritization Ссылка: https://www.paloaltonetworks.com/cortex/cortex-xpanse |
PonceОписание: IDA Pro плагин позволяющий пользователям проводить taint анализ для бинарных файлов и осуществлять их символьное выполнение. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: Alberto Garcia Illera a.k.a. illera88 Лицензия: BSD license Категория: OSS Версия / издание: 0.3.7 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс IDA Методы обнаружения: Информация не найдена |
|||
CyCognitoОписание: Платформа внешнего управления поверхностью атаки, использующая автоматизированную разведку и контекстный анализ для выявления теневых активов и критичных внешних уязвимостей организации. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: CyCognito Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, PDF, CSV Методы обнаружения: External Attack Surface Management, Threat intelligence, Attack path analysis |
psalmОписание: Инструмент статического анализа PHP для поиска ошибок и уязвимостей в PHP-приложениях Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: Vimeo Лицензия: MIT license Категория: OSS Версия / издание: 6.13.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: tty(console), JSON, XML Методы обнаружения: Pattern matching Ссылка: https://github.com/vimeo/psalm |
|||
CrowdStrike Falcon SurfaceОписание: Модуль Falcon Surface в составе платформы CrowdStrike, предоставляющий видимость внешней поверхности атаки, автоматическое обнаружение интернет‑доступных активов и приоритизацию рисков на основе threat intelligence CrowdStrike. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: CrowdStrike Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, CSV, JSON Методы обнаружения: External Attack Surface Management, Threat intelligence, Risk scoring Ссылка: https://www.crowdstrike.com/products/attack-surface-management/falcon-surface/ |
find-sec-bugsОписание: Плагин для SpotBugs, предназначенный для проведения аудитов безопасности Java-приложений, включая веб-приложения, Android-приложения, а также проекты на Kotlin, Groovy и Scala. Инструмент помогает выявлять уязвимости в коде, поддерживает интеграцию с популярными IDE и системами непрерывной интеграции, а также охватывает широкий спектр уязвимостей, связанных с OWASP Top 10 и CWE. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: OWASP Лицензия: LGPL-3.0 license Категория: OSS Версия / издание: 1.14.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: XML, SARIF Методы обнаружения: OWASP Top 10, CWE |
|||
FireCompass ASMОписание: Платформа Next Gen External Attack Surface Management, объединяющая пассивную и активную разведку с полуавтоматическими pentest‑плейбуками для выявления и валидации внешних уязвимостей. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: FireCompass Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, PDF, CSV Методы обнаружения: External Attack Surface Management, Automated recon, Attack simulation Ссылка: https://www.firecompass.com/platform/external-attack-surface-management/ |
||||
Detectify ASMОписание: Сервис управления поверхностью атаки, основанный на crowdsourced‑подходе: автоматически сканирует внешние активы и дополняет результаты результатами исследователей безопасности Detectify Crowdsource. Направление: AppSec Тип: Attack Surface Analysis Класс: Анализ поверхности атаки Вендор: Detectify Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, JSON Методы обнаружения: External Attack Surface Management, Crowdsourced vulnerabilities |
||||
| AppSec | IAST | Интерактивный анализатор | PT Application InspectorОписание: PT Application Inspector — российский инструмент анализа безопасности приложений, сочетающий статический, динамический, интерактивный анализ и проверку компонентов. Поддерживает автоматическую верификацию уязвимостей, гибкое масштабирование и развёртывание on-premise. Работает с Java, JavaScript, C#, Kotlin, Python, PHP, PL/SQL и др. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Positive Technologies Лицензия: Подписка Категория: PS Версия / издание: 5.0.0 Сертификация ФСТЭК: Есть, сертификат ФСТЭК России №4000 от 03.09.2018 Доступность в РФ: Доступен Форматы отчетов: JSON, XML, HTML Методы обнаружения: OWASP Top 10, PCI DSS, NIST 800-53 Rev.4, SANS Top 25, ОУД4 |
Contrast Security OSSОписание: Gлатформа для тестирования и защиты приложений, которая использует IAST, SAST, RASPдля выявления и предотвращения уязвимостей на всех этапах жизненного цикла разработки ПО. Поддерживает следующие языки программирования и технологии: Java, .NET Framework, .NET Core, C#, Node.js, Python, Ruby, Go, PHP Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Contrast Security Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 3.12.0 - on-premise, July 15 2025 - hosted customers Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: веб-интерфейс, JSONL, SARIF Методы обнаружения: NIST, PCI-DSS, PCI-SSS, DISA ASD STIG, IPA-7.0 |
Synopsys SeekerОписание: IAST-решение для выявления уязвимостей в веб-приложениях в реальном времени путем анализа их поведения.Интегрируется с процессами разработки и поддерживает соответствие стандартам, таким как OWASP Top 10, предоставя рекомендации по устранению уязвимостей. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Synopsys Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, XML, JSON Методы обнаружения: OWASP Top 10, PCI DSS, GDPR, CAPEC, CWE/SANS Top 25 Ссылка: https://www.blackduck.com/interactive-application-security-testing.html |
DongTai IASTОписание: Открытый интерактивный анализатор безопасности приложений, использующий пассивную инструментализацию для отслеживания вызовов методов и данных во время выполнения Java‑приложений и сторонних компонентов, что позволяет в реальном времени обнаруживать типичные уязвимости и ошибки конфигурации. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: HXSecurity Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 1.16.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс, JSON Методы обнаружения: OWASP Top 10, Информация не найдена |
|||
Hdiv Detection (IAST)Описание: Платформа, предоставляющая подробные отчеты о процессе работы приложения путем встраивания специального агента с целью снятия метрик. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Hdiv security Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс Методы обнаружения: OWASP Top 10, application agent Ссылка: https://hdivsecurity.com/interactive-application-security-testing-iast |
DongTai Java AgentОписание: Java‑агент DongTai IAST, который с помощью динамических hook‑ов собирает данные о вызовах методов и потоках данных в Java‑приложении, обеспечивая контекст для выявления уязвимостей во время работы приложения. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: HXSecurity Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, Логи Методы обнаружения: OWASP Top 10 (частично), Dataflow tracking |
|||
Contrast AssessОписание: инструмент интерактивного тестирования безопасности приложений (IAST), разработанный компанией Contrast Security.Он предназначен для выявления уязвимостей в веб-приложениях в реальном времени путем встраивания агентов в приложение, что позволяет анализировать его поведение во время выполнения.Поддерживаемые языки: Java, .NET, Node.js, Python, Ruby, Go, PHP Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Contrast Security Лицензия: Коммерческая лицензия (подписка, по количеству приложений) Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, CSV, XML Методы обнаружения: OWASP Top 10, CWE |
DongTai Go AgentОписание: Go‑агент DongTai IAST, осуществляющий динамическую инструментализацию Go‑приложений и сбор телеметрии о вызовах функций, что позволяет выявлять уязвимости и небезопасные пути обработки данных в рантайме. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: HXSecurity Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, Логи Методы обнаружения: Dataflow tracking, Информация не найдена |
|||
CAST Highlight (IAST)Описание: Встроенное IAST решение в платформу CAST Highlight. Позволяет валидировать уязвимости, найденные в процессе статического анализа (SAST). Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Cast software Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, PDF Методы обнаружения: Информация не найдена Ссылка: https://www.castsoftware.com/ |
DongTai Python AgentОписание: Python‑агент DongTai IAST, внедряемый в среду выполнения Python‑приложения для перехвата вызовов и отслеживания потоков данных, что обеспечивает интерактивный анализ безопасности без изменения исходного кода. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: HXSecurity Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, Логи Методы обнаружения: Dataflow tracking, Информация не найдена |
|||
Codename SCNR (Бывший Arachni)Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Ecsypno Лицензия: Community, Enterprise Категория: PS Версия / издание: 1.9.3.1(Community) Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Информация не обнаружена |
DongTai Base ImageОписание: Базовый контейнерный образ инфраструктуры DongTai IAST, включающий MySQL и Redis, предназначенный для развёртывания серверной части интерактивного анализатора в Docker и Kubernetes‑кластерах. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: HXSecurity Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс, Логи Методы обнаружения: Информация не найдена |
|||
Microfocus Fortify WebInspectОписание: инструмент динамического тестирования безопасности приложений (DAST), который автоматически выявляет уязвимости приложений в развернутых веб-приложениях и сервисах. Поддерживает работу с файлами HAR и современным сетевым стеком (HTML5, JSON, AJAX, JavaScript, HTTP2). SPA детекция совместима со многими фреймворками (Angular, AngularJS, React, GWT, Vue, Dojo Backbone) Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: OpenText Лицензия: Enterprise Категория: PS Версия / издание: 22.2 Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: PDF, HTML, TXT Методы обнаружения: Информация не найдена Ссылка: https://www.microfocus.com/ru-ru/documentation/fortify-webinspect/ |
DongTai IDEA PluginОписание: Плагин для IntelliJ IDEA, позволяющий разработчикам запускать Java‑агент DongTai IAST непосредственно из IDE и просматривать найденные уязвимости и трассировки вызовов в процессе разработки. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: HXSecurity Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс IDE Методы обнаружения: Информация не найдена |
|||
Veracode Interactive AnalysisОписание: Veracode Interactive Analysis — IAST-решение для выявления уязвимостей в реальном времени, являющееся частью платформы Veracode.Особенности: интеграция с Veracode SAST и DAST, а также автоматизация отчетов для соответствия стандартам PCI DSS.Поддерживаемые языки: Java, .NET, JavaScript, Python, PHP, Ruby, C/C++ Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Veracode Лицензия: Veracode custom license Категория: PS Версия / издание: June 25, 2025 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, XML, JSON, PCI Compliance Report Методы обнаружения: OWASP Top 10, CWE, CVSS |
4AОписание: Android Application Auto Analysis (4A) — интерактивный инструмент анализа безопасности Android‑приложений, основанный на Objection и Frida, позволяющий динамически перехватывать и модифицировать выполнение кода для выявления уязвимостей. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: MrT3acher Лицензия: GPL-3.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Логи, Интерфейс CLI Методы обнаружения: Информация не найдена Ссылка: https://github.com/MrT3acher/4A |
|||
Checkmarx IASTОписание: Компонент платформы Checkmarx One, реализующий интерактивное тестирование безопасности: агент внедряется в приложение и в реальном времени отслеживает выполнение кода и поток данных, валидируя результаты SAST/DAST и снижая число ложных срабатываний. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Checkmarx Лицензия: Enterprise, модуль платформы Checkmarx One Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, PDF, JSON, CSV Методы обнаружения: OWASP Top 10, OWASP API Security Top 10, CVSS Ссылка: https://checkmarx.com/platform/interactive-application-security-testing-iast/ |
Middleware IAST AgentОписание: Агент открытого кода для наблюдения за приложениями на уровне middleware и сбора телеметрии выполнения, который может использоваться как основа для интерактивного анализа безопасности и построения собственных IAST‑решений. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Middleware Labs Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Логи, JSON Методы обнаружения: Информация не найдена |
|||
Invicti Shark IASTОписание: IAST‑сенсор Shark в составе платформы Invicti, работающий внутри рантайма веб‑приложения, который взаимодействует с DAST‑сканером Invicti, подтверждает эксплуатацию уязвимостей и привязывает их к конкретным файлам и строкам кода. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Invicti Security Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, HTML, JSON, CSV Методы обнаружения: OWASP Top 10, Proof-based scanning, Runtime dataflow tracking Ссылка: https://www.invicti.com/learn/interactive-application-security-testing-iast |
OWASP Benchmark Java (IAST target)Описание: Тестовое Java‑приложение с большим числом преднамеренных уязвимостей, предназначенное для измерения эффективности SAST, DAST и IAST‑инструментов и настройки интерактивных анализаторов безопасности. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: OWASP Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, JSON, CSV Методы обнаружения: OWASP Benchmark test cases |
|||
Acunetix AcuSensorОписание: Модуль AcuSensor в составе Acunetix, реализующий пассивный IAST‑подход: датчики встраиваются в код приложения и дополняют DAST‑сканирование данными о выполнении, что позволяет точно указывать строки кода и уменьшать число ложных срабатываний. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Acunetix by Invicti Лицензия: Подписка, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, HTML, PDF, XML Методы обнаружения: OWASP Top 10, Code-level vulnerability confirmation Ссылка: https://www.acunetix.com/vulnerability-scanner/acusensor-technology/ |
EvoMaster (white-box API IAST-like)Описание: Инструмент для автоматизированного тестирования REST и RPC‑API, использующий white‑box подход, анализ кода и генерацию тестов, что позволяет выявлять уязвимости и ошибки логики в рантайме, близко по методологии к IAST. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: EvoMaster project Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 1.9.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JUnit, JSON, Логи Методы обнаружения: White-box API testing, Coverage-guided test generation |
|||
New Relic IASTОписание: IAST‑функциональность на базе APM‑агентов New Relic: инструмент анализирует выполнение кода в реальном времени, автоматически выявляет уязвимости в стеке приложения и даёт разработчикам приоритизированный список проблем с контекстом. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: New Relic Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON Методы обнаружения: Runtime dataflow analysis, OWASP Top 10 (частично) |
IAST Demo Agent (Contrast CE sample)Описание: Образец open source‑агента, демонстрирующий принцип встраивания сенсоров в код приложения для сбора данных о выполнении и построения IAST‑анализа, используемый в обучающих DevSecOps‑гайдах. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: Community Лицензия: Информация не найдена Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Логи, Интерфейс CI/CD Методы обнаружения: Информация не найдена Ссылка: https://devsecopsguides.github.io/docs/build-test/iast/ |
|||
Fortify IAST (Fortify on Demand)Описание: Интерактивный анализатор в составе Fortify on Demand, использующий агенты в рантайме для мониторинга исполнения веб‑приложений, корреляции с результатами SAST/DAST и точного указания местоположения уязвимостей в коде. Направление: AppSec Тип: IAST Класс: Интерактивный анализатор Вендор: OpenText Fortify Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, PDF, HTML, CSV Методы обнаружения: OWASP Top 10, CWE, CVSS-based risk scoring Ссылка: https://www.opentext.com/en-gb/products/application-security-testing |
||||
| AppSec | SCA/OSA | Анализатор | CodeScoringОписание: Инструмент анализа состава ПО для выявления уязвимостей и управления лицензиями в open-source зависимостях. Поддерживает языки: TypeScript, Swift, Ruby, Python, PHP, Kotlin, JavaScript, Java, Go, C#, C++, C. Интегрируется с CI/CD и предоставляет детализированные отчеты по безопасности компонентов. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: CodeScoring Лицензия: On-premise Категория: PS Версия / издание: 2025.29.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, cli, PDF Методы обнаружения: CVE, CVSS Ссылка: https://codescoring.com/ |
GrypeОписание: Сканер уязвимостей для контейнерных образов и файловых систем, разработанный Anchore. Поддерживает анализ SBOM, созданных Syft, и сканирование в форматах Docker, OCI и Singularity. Поддерживает языки: Go, Python, Java, JavaScript, Ruby, PHP. Отличается высокой скоростью сканирования контейнеров и поддержкой локальных и удаленных реестров. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Anchore Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 0.104 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, table, cyclonedx Методы обнаружения: CVE, CVSS Ссылка: https://github.com/anchore/grype |
Сканер уязвимостей Ya CloudОписание: Облачный сканер уязвимостей от Яндекс для анализа инфраструктуры и зависимостей в облачных средах. Позволяет провести сканирование Docker-образа Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Яндекс Лицензия: Yandex custom license Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json Методы обнаружения: CVE Ссылка: https://yandex.cloud/ru/docs/container-registry/concepts/vulnerability-scanner |
OpenSCAPОписание: Фреймворк с открытым исходным кодом для проверки соответствия и управления уязвимостями, поддерживает сканирование контейнерных образов и оценку безопасности. Хорошо интегрируется с экосистемой Red Hat и имеет модульную структуру для расширения функциональности. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Red Hat Лицензия: LGPL-2.1 Категория: OSS Версия / издание: 1.4.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: xia, html, json, XCCDF Методы обнаружения: SCAP, CVE, CVSS |
|||
AppSec.TrackОписание: Инструмент, реализующий практики OSA и SCA и предоставляющий сервис по предотвращению атак на цепочку поставок ПО через компоненты с открытым исходным кодом.Поддерживает анализ кода на языках, таких как Java, C#, Python, JavaScript, Go, Ruby, PHP, а также интеграцию с CI/CD-инструментами для DevSecOps-практик. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: ООО «АппСек Солюшенс» Лицензия: Trial, Enterprise Категория: PS Версия / издание: 3.19.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, json, html, pdf, SBOM Методы обнаружения: CVE, CVSS, OWASP Top 10, BDU, NVD, OSV, GHA |
Dependency TrackОписание: Платформа OWASP для анализа компонентов и управления рисками цепочки поставок ПО, использующая SBOM для мониторинга уязвимостей в портфеле приложений. Поддерживает языки: Java, JavaScript, Python, Ruby, .NET, Go, PHP. Обеспечивает визуализацию цепочек зависимостей и управление политиками безопасности. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: OWASP Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 4.13.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, xml, csv Методы обнаружения: CVE, CVSS, OWASP Top 10 |
|||
SnykНаправление: AppSec Тип: SCA/OSA Класс: Анализатор Категория: PS Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Ссылка: https://snyk.io/ |
Dependency CheckОписание: Инструмент OWASP для обнаружения уязвимостей в зависимостях приложений, с интеграцией в CI/CD и поддержкой различных типов проектов. Поддерживает языки: Java, JavaScript, .NET, Python, Ruby, PHP. Интегрируется с Maven и Gradle, использует локальное кэширование базы уязвимостей. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: OWASP Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 12.1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: html, xml, json, csv Методы обнаружения: CVE, CVSS, OWASP Top 10 |
|||
JFrog XrayОписание: Инструмент анализа состава ПО для сканирования бинарных файлов, контейнеров и зависимостей. Поддерживает языки: Java, Python, JavaScript, Go, C, C++. Интегрируется с JFrog Artifactory, обеспечивает проверку лицензий и выявление вредоносных пакетов. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: JFrog Ltd Лицензия: Pro, Enterprise, Enterprise+ Категория: PS Версия / издание: 3.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, xml, csv, spdx, cyclonedx, XLSX Методы обнаружения: CVE, CVSS |
DepscanОписание: Инструмент аудита безопасности и рисков нового поколения, основанный на известных уязвимостях, рекомендациях и ограничениях лицензий для зависимостей проекта. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: OWASP Лицензия: MIT license Категория: OSS Версия / издание: 6.1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, table, cyclonedx, PDF Методы обнаружения: CVSS, CVE |
|||
Solar AppScreener (SCA)Описание: Российский инструмент для анализа исходного кода и зависимостей, выявления уязвимостей и проверки лицензий. Поддерживает языки: Java, C, C++, Python, JavaScript, PHP. Интегрируется с CI/CD и соответствует требованиям российского законодательства. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: АО «СОЛАР СЕКЬЮРИТИ» Лицензия: Подписка Категория: PS Версия / издание: 3.15 Сертификация ФСТЭК: Есть, сертификат ФСТЭК России №4825 от 3.06.2024 Доступность в РФ: Доступен Форматы отчетов: html, pdf, xml Методы обнаружения: CVE, CVSS Ссылка: https://solarappscreener.com/ |
TrivyОписание: Комплексный сканер уязвимостей для контейнеров, репозиториев кода и облачных сред, поддерживающий создание SBOM и интеграцию с CI/CD. Поддерживает языки: Go, Java, JavaScript, Python, Ruby, PHP, Rust. Отличается высокой производительностью и поддержкой сканирования инфраструктуры как кода. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Aqua security Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 0.68 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, table, cyclonedx, spdx Методы обнаружения: CVE, CVSS |
|||
PT Application InspectorОписание: Российский инструмент для анализа кода и зависимостей, выявления уязвимостей и обеспечения соответствия требованиям безопасности. Поддерживает языки: Java, C#, Python, JavaScript, PHP, Go. Отличается поддержкой локальных стандартов и интеграцией с CI/CD. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Positive Technologies Лицензия: Подписка Категория: PS Версия / издание: 5.0.0 Сертификация ФСТЭК: Есть, сертификат ФСТЭК России №4000 от 03.09.2018 Доступность в РФ: Доступен Форматы отчетов: JSON, XML, HTML Методы обнаружения: OWASP Top 10, PCI DSS, NIST 800-53 Rev.4, SANS Top 25, ОУД4 |
SyftОписание: CLI‑инструмент и Go‑библиотека для генерации SBOM по контейнерным образам и файловым системам; обнаруживает пакеты и зависимости во множестве экосистем (Docker, OCI, Alpine, Debian, RPM, npm, PyPI, Maven и др.) и экспортирует данные в стандартизированные форматы. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Anchore Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 1.18.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, table, cyclonedx, spdx-json, spdx-tag-value, syft-json Методы обнаружения: SBOM (CycloneDX/SPDX), CVE (через интеграции) Ссылка: https://github.com/anchore/syft |
|||
Spectral Mend SCAОписание: Инструмент для анализа состава ПО и защиты цепочки поставок, с акцентом на DevOps. Поддерживает языки: JavaScript, Python, Go, Java, Ruby. Предоставляет настраиваемые правила и интеграцию с CI/CD. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Check Point Лицензия: Информация не найдена Категория: PS Версия / издание: 1.7.0 Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен (проверить у вендора соответствие санкциям) Форматы отчетов: json, yaml Методы обнаружения: CVE, CVSS Ссылка: https://spectralops.io/sca/ |
OpenSCAОписание: Инструмент анализа состава ПО от xmirrorlab, фокусирующийся на анализе зависимостей и уязвимостей третьих‑сторонних компонентов для проектов на разных языках, с поддержкой сканирования репозиториев и CI/CD. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: xmirrorsecurity Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 1.5.3 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, html Методы обнаружения: CVE, CVSS |
|||
AzulОписание: Инструмент для управления безопасностью Java-приложений и зависимостей. Поддерживает язык: Java. Специализируется на анализе JVM и оптимизации безопасности Java-экосистемы. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Azul Systems Лицензия: Azul Zulu для OpenJDK (OSS), Core, Prime Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, csv Методы обнаружения: CVE, CVSS, NIST Ссылка: https://www.azul.com/ |
OpenSCA WebОписание: Веб‑платформа на базе OpenSCA‑cli с интерфейсом для управления проектами, просмотром результатов SCA‑сканирования и мониторингом уязвимостей и лицензий по репозиториям. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: xmirrorsecurity Лицензия: Apache-2.0 License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: web‑интерфейс, json Методы обнаружения: CVE, CVSS, license compliance (частично) |
|||
BlackDuckОписание: Инструмент анализа состава ПО для управления рисками open-source и стороннего кода. Поддерживает языки: Java, C#, Python, JavaScript, C, C++. Обеспечивает глубокий анализ зависимостей и лицензий, интегрируется с SDLC. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Synopsys Лицензия: Enterprise Категория: PS Версия / издание: 2025.10 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, xml, csv Методы обнаружения: CVE, CVSS |
TernОписание: Инструмент анализа Docker/OCI‑образов, строящий SBOM на уровне пакетов и слоёв; помогает понять происхождение компонентов и их лицензии для повышения прозрачности цепочки поставок. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: tern‑tools Лицензия: BSD-2-Clause License Категория: OSS Версия / издание: 2.14.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, yaml, spdx, cyclonedx Методы обнаружения: SBOM (SPDX/CycloneDX), License metadata |
|||
Mend SCAОписание: Инструмент для анализа open-source зависимостей и управления безопасностью ПО. Поддерживает языки: Java, JavaScript, Python, Ruby, Go, .NET, PHP. Автоматизирует исправление уязвимостей и проверку лицензий, интегрируется с CI/CD. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Mend.io Лицензия: Trial, Подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен (проверить у вендора соответствие санкциям) Форматы отчетов: json, xml, csv Методы обнаружения: CVE, CVSS, OWASP Top 10 Ссылка: https://www.mend.io/sca/ |
||||
Sonatype Repository FirewallОписание: Инструмент для защиты цепочки поставок ПО, блокирующий небезопасные компоненты. Поддерживает языки: Java, JavaScript, Python, Ruby, .NET, Go, PHP. Интегрируется с Nexus Repository, обеспечивает проверку лицензий и блокировку вредоносных пакетов. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Sonatype Лицензия: Trial, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, xml Методы обнаружения: CVE, CVSS Ссылка: https://www.sonatype.com/products/sonatype-repository-firewall |
||||
Veracode SCAОписание: Модуль SCA в платформе Veracode, выполняющий анализ open‑source компонентов в приложениях и контейнерах, управление лицензиями и генерацию SBOM с приоритизацией уязвимостей по контексту эксплуатации. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Veracode Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Скорее всего недоступен Форматы отчетов: Dashboard, PDF, JSON, CSV, SBOM Методы обнаружения: CVE, CVSS, license compliance, policy rules Ссылка: https://www.veracode.com/products/software-composition-analysis |
||||
Sonatype Nexus LifecycleОписание: Флагманское решение Sonatype для SCA и управления OSS‑зависимостями: реализует dependency firewall, сложные политики использования, мониторинг уязвимостей и лицензий на уровне репозиториев и сборок. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Sonatype Лицензия: Enterprise, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен ограниченно Форматы отчетов: Dashboard, JSON, CSV, SBOM Методы обнаружения: CVE, CVSS, лицензии, policy enforcement |
||||
FOSSA SCAОписание: Коммерческая платформа для SCA и управления лицензиями, ориентированная на прозрачность использования open‑source: поддерживает бинарный анализ, генерацию SBOM и формирование уведомлений для поставщиков и заказчиков. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: FOSSA Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Скорее всего недоступен Форматы отчетов: Dashboard, PDF, CSV, JSON, SBOM Методы обнаружения: CVE, CVSS, license risk, policy compliance Ссылка: https://fossa.com/ |
||||
Jit SCAОписание: Модуль SCA в платформе Jit, ориентированный на разработчиков: сканирует зависимости в Git‑репозиториях, CI/CD и контейнерах, уведомляя о уязвимостях и лицензионных рисках через pull‑request и интеграции с тикет‑системами. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Jit Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON Методы обнаружения: CVE, CVSS, license checks Ссылка: https://www.jit.io/resources/appsec-tools/10-sca-security-tools-to-protect-your-code-in-2023 |
||||
DebrickedОписание: Инструмент анализа состава ПО для сканирования зависимостей с открытым исходным кодом, обнаружения уязвимостей и проверки лицензий с интеграцией в CI/CD. Поддерживает языки: JavaScript, TypeScript, Python, Java, PHP, Ruby, Go, .NET, C, C++, Rust. Предлагает автоматизированное исправление уязвимостей и облачную архитектуру. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: OpenText Лицензия: Proprietary Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, pdf, csv Методы обнаружения: CVE, CVSS Ссылка: https://debricked.com/ |
||||
Aikido SCAОписание: Компонент SCA в Aikido Security: проводит анализ зависимостей, формирует SBOM и приоритизирует уязвимости с учётом достижимости и контекста (code→cloud), снижая шум и количество ложноположительных срабатываний. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Aikido Security Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON, SBOM Методы обнаружения: CVE, reachability, license compliance Ссылка: https://www.aikido.dev/blog/top-10-software-composition-analysis-sca-tools-in-2025 |
||||
Cycode SCAОписание: SCA‑модуль платформы Cycode, использующий Risk Intelligence Graph для корреляции уязвимостей в зависимостях с контекстом репозиториев, CI/CD и облака, предоставляя приоритизацию и SBOM‑отчёты. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Категория: PS |
||||
Plexicus ASPM (SCA)Описание: Платформа ASPM с сильным SCA‑модулем: выполняет многомодовый поиск зависимостей (по манифестам, бинарям, сниппетам, codeprint), автоматизирует выпуск SBOM и облегчает аудит и обмен данными с поставщиками. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Plexicus Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, SBOM, JSON, CSV, PDF Методы обнаружения: CVE, CVSS, license governance Ссылка: https://www.plexicus.ai/blog/review/best-sca-tools-secure-software-supply-chain/ |
||||
GitLab Dependency ScanningОписание: Встроенный модуль GitLab Ultimate для анализа зависимостей: сканирует манифесты, контейнерные образы и генерирует SBOM, показывая уязвимые пакеты прямо в Merge Request и pipeline‑отчётах. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: GitLab Лицензия: GitLab Ultimate / Premium с AppSec Категория: PS Версия / издание: 18.x (GitLab Ultimate) Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен (санкции) Форматы отчетов: JSON, SBOM, pipeline reports Методы обнаружения: CVE, CVSS, NVD/OSV источники Ссылка: https://docs.gitlab.com/user/application_security/dependency_scanning/ |
||||
Qodana + Mend SCAОписание: Интеграция Qodana с Mend.io: добавляет SCA‑проверки прямо в JetBrains‑IDE и пайплайны, объединяя статический анализ кода и анализ зависимостей в едином отчётном формате. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: JetBrains + Mend.io Лицензия: Подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен (JetBrains/Mend) Форматы отчетов: Dashboard, IDE‑репорты, JSON Методы обнаружения: CVE, CVSS, лицензии Ссылка: https://blog.jetbrains.com/qodana/2025/09/best-software-composition-analysis-tools/ |
||||
Endor LabsОписание: Платформа для управления рисками open‑source, фокусирующаяся на анализе достижимости уязвимостей, качестве проектов и зависимости «code→cloud», чтобы отсечь шум и показать действительно опасные зависимости. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Endor Labs Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON, SBOM Методы обнаружения: CVE, reachability, maintainability scoring Ссылка: https://www.aikido.dev/blog/top-10-software-composition-analysis-sca-tools-in-2025 |
||||
Xygeni SCAОписание: Выявление уязвимостей, управление лицензиями и предотвращение рисков Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Xygeni Лицензия: Trial, Подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен (проверить у вендора соответствие санкциям) Форматы отчетов: table, cyclonedx, SPDX Методы обнаружения: CVE |
||||
Arnica SCAОписание: DevSecOps‑платформа с SCA‑модулем, ориентированным на CI/CD‑интеграции: обеспечивает быстрый анализ зависимостей в пайплайнах, автоматические политики блокировки и уведомления в чаты и трекеры. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Arnica Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON Методы обнаружения: CVE, CVSS, pipeline gating Ссылка: https://www.aikido.dev/blog/top-10-software-composition-analysis-sca-tools-in-2025 |
||||
StaticReviewerОписание: SAST модуль в составе продукта 'Security Reviewer suite'. Позволяет искать уязвимости в исходном коде и используемых библиотеках, а также проводить проверки DAST/MAST. Для отображения результатов используется встроенное ASPM решение. Направление: AppSec Тип: SCA/OSA Класс: Анализатор Вендор: Security Reviewer(Italy) Лицензия: On Premise, Cloud, Container Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard Методы обнаружения: CWE, OWASP Top 10, SQALE, CISQ, CVE, WASC, MISRA, CERT, NIST Ссылка: https://securityreviewer.atlassian.net/wiki/spaces/KC/pages/196633/Static+Reviewer |
||||
| AppSec | SBOM | SBOM | SpectralОписание: Платформа для анализа безопасности кода (SCA/OSA), выявляющая утечки секретов, конфиденциальных данных и уязвимости в коде и зависимостях. Поддерживает языки: Java, JavaScript, Python, Go, Ruby, PHP, C/C++, .NET. Интегрируется с CI/CD, обеспечивает автоматизированное сканирование без агентов. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: Check Point Software Technologies Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON Методы обнаружения: CWE, OWASP Top 10 Ссылка: https://spectralops.io/ |
TrivyОписание: Комплексный сканер уязвимостей от Aqua Security, генерирующий Software Bill of Materials (SBOM) в форматах SPDX и CycloneDX, а также сканирующий уязвимости в контейнерах, репозиториях кода и облачных средах. Поддерживает языки: Go, Java, JavaScript, Python, Ruby, PHP, Rust. Отличается высокой производительностью и поддержкой сканирования инфраструктуры как кода. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: Aqua security Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 0.68 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, table Методы обнаружения: CVE, CVSS |
Endor LabsОписание: Платформа для управления SBOM и анализа рисков в цепочке поставок ПО. Поддерживает импорт и анализ SBOM в форматах CycloneDX и SPDX, автоматизирует мониторинг уязвимостей. Поддерживает языки: Java, Node.js, .NET, Go, Python, PHP, Ruby. Интегрируется с CI/CD. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: Endor Labs Лицензия: Endor Core, Endor Pro, Endor Patches, Endor Code, Endor SBOM Hub Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, CycloneDX, VEX, XML Методы обнаружения: CWE, OWASP Top 10 Ссылка: https://www.endorlabs.com/ |
SyftОписание: Инструмент CLI и библиотека Go для создания спецификации программного обеспечения (SBOM) на основе образов контейнеров и файловых систем. Поддерживаемые платформы: Alpine, Bitnami packages, C, C++, Dart, Debian, Dotnet, Objective-C, Elixir, Erlang, Go, Haskell, Java, JavaScript, Jenkins Plugins, Linux kernel archives, Linux kernel modules, Nix, PHP, Python, Red Hat, Ruby, Rust, Swift, Wordpress plugins, Terraform providers. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: Anchore Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 1.38.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, text, xml, table Методы обнаружения: Информация не найдена Ссылка: https://github.com/anchore/syft |
|||
Dynamic SBOMОписание: платформа для управления уязвимостями и программной спецификацией (SBOM), включающая в себя инструменты BCA. Помогает определить, какие из обнаруженных уязвимостей действительно представляют угрозу. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: Rezilion Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс Методы обнаружения: Информация не найдена Ссылка: https://aws.amazon.com/marketplace/pp/prodview-hlzqud6ccq75m |
Jit ASPM platform (SBOM)Описание: Платформа для внедрения в GitHub или GitLab, сканирует выбранные репозитории и проекты, также может запускаться автоматически. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: Jit io Лицензия: Community, Growth, Enterprise Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, csv Методы обнаружения: CWE |
|||
Cybeats SBOM StudioОписание: Инструмент для управления компонентами ПО и обеспечения безопасности цепочки поставок, позволяющий отслеживать сторонние компоненты и анализировать риски. Решение поддерживает форматы SPDX и CycloneDX, обеспечивает прозрачность происхождения ПО и помогает соответствовать отраслевым стандартам безопасности. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: Cybeats Technologies Лицензия: Trial, Cybeats custom license Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: CycloneDX, SPDX Методы обнаружения: CWE Ссылка: https://www.cybeats.com/ |
CycloneDX (CDXGen)Описание: Инструмент от OWASP для создания Software Bill of Materials (SBOM) в формате CycloneDX из исходного кода и контейнерных образов. Поддерживает языки: C/C++, Go, Java, Javascript, .NET, Node.js, PHP, Python, Ruby, Rust. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: OWASP, CycloneDX Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 11.4.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: json, table Методы обнаружения: OWASP Top 10 |
|||
CodenotaryОписание: Платформа для обеспечения доверия в цепочке поставок ПО, использующая криптографическую верификацию и анализ для защиты артефактов от подмены и уязвимостей. Автоматизирует создание SBOM, отслеживает соответствие стандартам (SPDX, CycloneDX) и интегрируется с CI/CD-инструментами. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: Codenotary Лицензия: Team, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Скорее всего недоступен Форматы отчетов: CycloneDX, JSON, CSV Методы обнаружения: CWE, NIST, NIS2, CRA, DORA, PCI-DSS Ссылка: https://codenotary.com/ |
SPDX SBOM GeneratorОписание: Утилита для создания SBOM в формате SPDX на основе исходного кода, бинарей или сборочных артефактов; интегрируется в CI/CD для автоматического инвентаризации OSS‑компонентов. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: SPDX Project Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 0.0.16 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: spdx-json, spdx-tag-value Методы обнаружения: SBOM (SPDX), License identification (SPDX) |
|||
Sonatype SBOM ManagerОписание: Инструмент для анализа и управления SBOM в форматах SPDX (2.2, 2.3) и CycloneDX. Интегрируется с Sonatype Lifecycle для анализа уязвимостей и лицензий. Поддерживает языки: Java, JavaScript, .NET, Python, Go, PHP, Ruby. Обеспечивает экспорт отчетов и интеграцию с CI/CD. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: Sonatype Лицензия: Информация не найдена Категория: PS Версия / издание: 1.198.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: SPDX, CycloneDX, JSON, XML Методы обнаружения: CWE, OWASP Top 10 Ссылка: https://www.sonatype.com/products/sonatype-sbom-manager |
CycloneDX CLIОписание: CLI‑инструмент для генерации и обработки SBOM в формате CycloneDX: умеет конвертировать форматы, валидировать документы, объединять и фильтровать BOM для разных экосистем. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: CycloneDX Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 0.27.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: cyclonedx-json, cyclonedx-xml, protobuf Методы обнаружения: SBOM (CycloneDX), Интеграции с SCA‑сканерами |
|||
Dynamic SBOMОписание: платформа для управления уязвимостями и программной спецификацией (SBOM), включающая в себя инструменты BCA. Помогает определить, какие из обнаруженных уязвимостей действительно представляют угрозу. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: Rezilion Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс Методы обнаружения: Информация не найдена Ссылка: https://aws.amazon.com/marketplace/pp/prodview-hlzqud6ccq75m |
Tern CycloneDX GeneratorОписание: Шаблон/расширение для Tern, позволяющее генерировать CycloneDX‑совместимые SBOM для контейнерных образов, упрощая дальнейший анализ уязвимостей и лицензий в сторонних SCA‑платформах. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: CycloneDX community Лицензия: Apache-2.0 License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: cyclonedx-json, cyclonedx-xml Методы обнаружения: SBOM (CycloneDX) |
|||
Syft for SBOM (language‑specific)Описание: Режим использования Syft как генератора языка‑специфичных SBOM для npm, PyPI, Maven, Go modules и др., с возможностью экспорта в CycloneDX/SPDX и дальнейшего анализа внешними SCA‑решениями. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: Anchore Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 1.18.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: cyclonedx-json, cyclonedx-xml, spdx-json Методы обнаружения: SBOM (CycloneDX/SPDX), CVE через внешние фиды Ссылка: https://github.com/anchore/syft |
||||
BOM (Java SBOM tool)Описание: Генератор SBOM для Java/Gradle/Maven‑проектов, создающий CycloneDX‑или SPDX‑совместимые документы на основе зависимостей, перечисленных в build‑файлах. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: CycloneDX Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 2.9.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: cyclonedx-xml, cyclonedx-json Методы обнаружения: SBOM (CycloneDX) |
||||
Retire.js (SBOM mode)Описание: Помимо поиска уязвимых JS‑зависимостей, Retire.js может использоваться как часть OSS‑стека SCA и SBOM‑генерации для фронтенд‑ и Node.js‑приложений. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: RetireJS Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 5.4.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: text, json, cyclonedx Методы обнаружения: CVE, SBOM (CycloneDX) |
||||
Jake (npm SBOM tool)Описание: Утилита/плагин для NPM‑экосистемы, позволяющая собирать SBOM по JavaScript‑проекту и его зависимостям, чтобы далее использовать их в SCA‑платформах. Направление: AppSec Тип: SBOM Класс: SBOM Вендор: CycloneDX Лицензия: Apache-2.0 License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: cyclonedx-json, cyclonedx-xml Методы обнаружения: SBOM (CycloneDX) |
||||
| AppSec | BCA | Бинарный анализатор | IDAPROОписание: дизассемблер, являющийся отраслевым стандартом для реверс-инжиниринга. Он поддерживает анализ бинарных файлов для множества архитектур (x86, ARM, MIPS и др.)и операционных систем (Windows, Linux, macOS), включая декомпиляцию в C-подобный код и автоматизацию через Python/IDC-скрипты Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: Hex-Rays Лицензия: Commercial, non-commercial, education Категория: PS Версия / издание: 9.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: asm, c, idb, i64, txt, html Методы обнаружения: Информация не найдена Ссылка: https://hex-rays.com/ida-pro |
BinaryNinjaОписание: Платформа для реверс-инжиниринга, предоставляющая интерактивный дизассемблер и декомпилятор для анализа бинарных файлов любых языков, компилируемых в поддерживаемые архитектуры: x86, x86_64, ARM, MIPS, RISC-V и другие. Поддерживает автоматизацию анализа через API на Python, Rust и C++, обеспечивая гибкость для задач безопасности и исследования кода. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: Vector 35 Лицензия: Personal, Commercial, Enterprise Категория: OSS Версия / издание: 5.0 Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: JSON Методы обнаружения: Информация не найдена Ссылка: https://github.com/Vector35 |
Dynamic SBOMОписание: платформа для управления уязвимостями и программной спецификацией (SBOM), включающая в себя инструменты BCA. Помогает определить, какие из обнаруженных уязвимостей действительно представляют угрозу. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: Rezilion Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс Методы обнаружения: Информация не найдена Ссылка: https://aws.amazon.com/marketplace/pp/prodview-hlzqud6ccq75m |
JADXОписание: Декомпилятор для Android-приложений, преобразующий APK, DEX и JAR файлы в исходный код на Java для реверс-инжиниринга. Поддерживает дизассемблирование и анализ безопасности, помогая выявлять уязвимости в бинарном коде. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: Skylot Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 1.5.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: java, JSON, TXT Методы обнаружения: Информация не найдена Ссылка: https://github.com/skylot/jadx |
|||
CodeSentryОписание: Enterprise‑решение Binary Composition Analysis (BCA) для анализа бинарных артефактов, выявления open source‑компонентов, уязвимостей и лицензий, а также генерации SBOM в форматах SPDX и CycloneDX. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: CodeSecure Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: SPDX, CycloneDX, JSON, CSV Методы обнаружения: Binary Composition Analysis, VEX/SBOM-based vulnerability detection |
ILSpyОписание: .NET декомпилятор, преобразующий сборки .NET в исходный код на C# с поддержкой PDB, ReadyToRun и анализа метаданных. Используется для реверс-инжиниринга и анализа безопасности, интегрируется с Visual Studio и поддерживает кросс-платформенные интерфейсы. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: ICSharpCode Лицензия: MIT license Категория: OSS Версия / издание: 9.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: TXT, cs, csproj Методы обнаружения: Информация не найдена |
|||
Black Duck Binary AnalysisОписание: Модуль платформы Black Duck SCA для анализа бинарных файлов, библиотек, контейнеров и прошивок с целью выявления открытого ПО, уязвимостей и лицензионных рисков без доступа к исходному коду. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: Black Duck (Synopsys) Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, JSON, CSV, SBOM Методы обнаружения: Binary SCA, Signature matching, Heuristic analysis Ссылка: https://www.blackduck.com/software-composition-analysis-tools/binary-analysis.html |
DotpeekОписание: Инструмент для декомпиляции и исследования сборок .NET, построенный на базе встроенного декомпилятора ReSharper. Он декомпилирует любую сборку .NET в исходный код на C# или IL-код. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: JetBrains Лицензия: Personal Категория: OSS Версия / издание: 2025.3.0.3 Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, csproj Методы обнаружения: Информация не найдена |
|||
BinSideОписание: Платформа статического анализа бинарного кода от ИСП РАН для поиска дефектов и уязвимостей в исполняемых файлах и библиотеках, основанная на промежуточном представлении REIL и интеграции с IDA Pro и Ghidra. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: ИСП РАН Лицензия: Коммерческая лицензия Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, TXT Методы обнаружения: Dataflow analysis, Taint analysis, Pointer analysis |
ProcyonОписание: Набор инструментов для метапрограммирования на Java, включающий в себя многофункциональный Reflection API, API для деревьев выражений (Expression Tree API) в стиле LINQ для генерации кода во время выполнения, а также декомпилятор Java. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: Mike Strobel a.k.a. mstrobel Лицензия: Apache-2.0 + unknown license Категория: OSS Версия / издание: 0.6.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: tty Методы обнаружения: Информация не найдена |
|||
Veracode Binary SASTОписание: Облачное SAST‑решение Veracode с поддержкой бинарного анализа, позволяющее сканировать приложения без доступа к исходному коду и выявлять уязвимости на уровне скомпилированных артефактов. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: Veracode Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, PDF, CSV Методы обнаружения: Static binary analysis, Whole-program analysis Ссылка: https://www.veracode.com/products/binary-static-analysis-sast/ |
GhidraОписание: Кроссплатформенный фреймворк реверс‑инжиниринга от NSA для анализа бинарных файлов, включающий дизассемблер, декомпилятор и средства автоматизации анализа через скрипты на Java и Python. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: National Security Agency (NSA) Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 11.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс, HTML Методы обнаружения: Информация не найдена Ссылка: https://ghidra-sre.org/ |
|||
BINSECОписание: Набор инструментов для анализа безопасности ПО на уровне бинарного кода, использующий формальные методы, символическое исполнение, абстрактную интерпретацию и SMT‑решатели для поиска уязвимостей. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: BINSEC project Лицензия: GPL-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: TXT, JSON Методы обнаружения: Symbolic execution, Abstract interpretation Ссылка: https://binsec.github.io |
||||
ManticoreОписание: Инструмент динамического бинарного анализа и символического исполнения, поддерживающий анализ ELF‑бинарников и смарт‑контрактов Ethereum для поиска уязвимостей и логических ошибок. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: Trail of Bits Лицензия: AGPL-3.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, TXT Методы обнаружения: Symbolic execution, Taint analysis |
||||
BAPОписание: Binary Analysis Platform — фреймворк для статического анализа бинарных программ с поддержкой плагинов и API для C, Python и Rust, применяемый для анализа вредоносного ПО и поиска уязвимостей. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: Binary Analysis Platform community Лицензия: BSD-3-Clause license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, TXT Методы обнаружения: Control flow analysis, Data flow analysis |
||||
cwe_checkerОписание: Статический инструмент анализа бинарного кода для поиска потенциальных уязвимостей, сопоставляемых с CWE, ориентированный на исследовательское применение и автоматизацию проверки бинарей. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: Fraunhofer FKIE Лицензия: GPL-3.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, TXT Методы обнаружения: CWE pattern matching |
||||
binbloomОписание: Инструмент для анализа бинарных прошивок, автоматически определяющий базовый адрес загрузки, энднianness и некоторые структурные особенности образа, включая поиск UDS‑таблиц. Направление: AppSec Тип: BCA Класс: Бинарный анализатор Вендор: Quarkslab Лицензия: MIT license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: TXT Методы обнаружения: Heuristic firmware analysis |
||||
| AppSec | DAST | DAST | Acunetix Premium 14Описание: DAST сканер с расширенными возможностями IAST: инструмент позволяет установить в сканируемое приложение легковесный агент. Во время проведения динамического сканирования агент видит, как атака обрабатывается изнутри приложения. Направление: AppSec Тип: DAST Класс: DAST Вендор: Acunetix Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Ссылка: https://www.acunetix.com/ |
OWASP ZAPОписание: Инструмент для динамического тестирования безопасности веб-приложений (DAST), который обнаруживает уязвимости, такие как SQL-инъекции, XSS и CSRF, работая как прокси между браузером и сервером. Он поддерживает веб-приложения на любых языках (включая JavaScript, Python, Java, PHP и другие), так как анализирует HTTP-трафик, а также REST API, SOAP и GraphQL Направление: AppSec Тип: DAST Класс: DAST Вендор: Checkmarx Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 2.16.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, JSON, XML, Markdown, PDF Методы обнаружения: OWASP Top 10 (2021) Ссылка: https://www.zaproxy.org/, https://github.com/zaproxy/zaproxy |
PT Black BoxОписание: Cканер приложений, который ищет уязвимости и риски, связанные с безопасностью, и помогает защитить приложения от действий злоумышленников. PT BlackBox сканирует приложения, используя метод черного ящика Направление: AppSec Тип: DAST Класс: DAST Вендор: АО «Позитив Текнолоджиз» Лицензия: On-premise, Online Категория: PS Версия / издание: 3.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, JSON, HTML, SARIF, OWASP Top 10 2021, OWASP Mobile Top 10 2016, SANS Top 25, NIST 800-53 Rev. 4, ОУД4 (ГОСТ 15408-3), PCI DSS 3.2 Методы обнаружения: CVE, CVSS |
Burp Suite CEОписание: Бесплатная версия набора инструментов для тестирования безопасности веб-приложений, включающая базовые функции вроде прокси-перехвата, ручного тестирования и анализа запросов. Он работает с любыми веб-технологиями и языками (PHP, Java, Python, .NET, JavaScript и др.), так как анализирует HTTP/S-трафик, но имеет ограничения по сравнению с Pro-версией (например, нет автоматического сканера). Направление: AppSec Тип: DAST Класс: DAST Вендор: PortSwigger Ltd. Лицензия: Burp Suite Community Edition Licence Agreement Категория: OSS Версия / издание: 2025.6 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, HTML, PDF, XML Методы обнаружения: OWASP Top 10: 2021, PCI DSS v4.0.1 |
|||
SolidPoint DASTОписание: Решение для динамического анализа веб-приложений на наличие уязвимостей информационной безопасности,использующее интеллектуальные алгоритмы для повышения вероятности обнаружения скрытых недостатков и снижения количества ложных срабатываний.Решение поддерживает максимально широкий спектр технологий по обнаружению точек ввода данных, как традиционных (crawling, dirbusting), так и альтернативных (статико-динамический анализ JavaScript, FAST, загрузка описаний Open API). Направление: AppSec Тип: DAST Класс: DAST Вендор: ООО «СолидСофт» Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс, TXT Методы обнаружения: Информация не найдена Ссылка: https://www.solidlab.ru/resheniya/solidpoint-dast.html |
OpenVASОписание: Фреймворк с открытым исходным кодом для сканирования уязвимостей и анализа безопасности, который позволяет выявлять и устранять угрозы в сетевых системах. Он включает обширную базу данных уязвимостей и предоставляет инструменты для автоматизированного тестирования безопасности. Направление: AppSec Тип: DAST Класс: DAST Вендор: Greenbone Лицензия: GPL-2.0 license, GNU GPL-2+ Категория: OSS Версия / издание: 23.22.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: XML, CSV, CPE, HTML, GSR (OpenVAS custom), PDF, TXT Методы обнаружения: CVE, NIST NVD, CISA Ссылка: https://github.com/greenbone/openvas-scanner, https://openvas.org/ |
|||
HCL AppScanОписание: Комплексная платформа для тестирования безопасности приложений (SAST, DAST, IAST, SCA),которая помогает выявлять и устранять уязвимости на всех этапах жизненного цикла разработки ПО (SDLC).Инструмент поддерживает более 30 языков, включая Java, C/C++, Python, .NET, JavaScript, PHP, Ruby, Swift и Go,а также фреймворки (Angular, React, Node.js) и инфраструктурные технологии (Docker, Kubernetes, Terraform) Направление: AppSec Тип: DAST Класс: DAST Вендор: HCL Technologies Limited Лицензия: Enterprise Категория: PS Версия / издание: AppScan Enterprise - 10.8.1, AppScan Standard - 10.9.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: DOCX, PDF, HTML, RTX, TXT Методы обнаружения: PCI, HIPAA, OWASP Top 10, OWASP API Security Top 10, SANS 25 |
WapitiОписание: Веб-сканер уязвимостей с открытым исходным кодом, который проверяет сайты на наличие таких угроз,как SQL-инъекции, XSS и файловые включения.Он поддерживает Python и может анализировать веб-приложения, написанные на PHP, Java, ASP и других языках. Направление: AppSec Тип: DAST Класс: DAST Лицензия: GPL-2.0 license Категория: OSS Версия / издание: 3.2.4 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, XML, JSON, TXT, CSV Методы обнаружения: CVE |
|||
Burp Suite EE (Intruder)Описание: инструмент для динамического тестирования безопасности веб-приложений и API,который автоматически обнаруживает уязвимости (XSS, SQL-инъекции, CSRF и др.)с минимальным количеством ложных срабатываний. Он поддерживает анализ приложений на любых языках (например, Java, .NET, Python, PHP)и фреймворках, так как работает на уровне HTTP/HTTPS-трафика, не требуя доступа к исходному коду Направление: AppSec Тип: DAST Класс: DAST Вендор: PortSwigger Ltd Лицензия: Подписка Категория: PS Версия / издание: 2025.6 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, HTML, PDF, XML Методы обнаружения: OWASP Top 10: 2021, PCI DSS v4.0.1 |
NucleiОписание: Cканер уязвимостей с открытым исходным кодом, использующий YAML-шаблоны для обнаружения уязвимостей в веб-приложениях,API, сетях и облачных сервисах. Он поддерживает множество протоколов,включая HTTP, DNS, TCP, SSL, а также позволяет создавать шаблоны на YAML для кастомных проверок Направление: AppSec Тип: DAST Класс: DAST Вендор: Project discovery Лицензия: MIT license Категория: OSS Версия / издание: 3.5.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: cli, JSON, JSONL, SARIF Методы обнаружения: CVE |
|||
InsightAppSecОписание: Инструмент для динамического тестирования безопасности приложений (DAST),который автоматически выявляет уязвимости в веб-приложениях и API, сокращая ложные срабатывания и ускоряя исправление проблем.Он поддерживает различные технологии, включая современные веб-приложения и API (REST, SOAP, GraphQL). Направление: AppSec Тип: DAST Класс: DAST Вендор: Rapid7 Лицензия: Подписка, зависит от количества приложений Категория: PS Версия / издание: July 21, 2025 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, CSV, JSON Методы обнаружения: CVE, OWASP Top 10 for LLM Applications, OWASP TOP 10 API Security Risks |
RESTlerОписание: Инструмент для stateful фаззинга REST API, разработанный Microsoft, который автоматически тестирует облачные сервисы на наличие уязвимостей и ошибок, анализируя их спецификации OpenAPI/Swagger 18.Он поддерживает языки, используемые в описании API (например, JSON для OpenAPI) Направление: AppSec Тип: DAST Класс: DAST Вендор: Microsoft Лицензия: MIT license Категория: OSS Версия / издание: 9.3.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, TXT, Log formats Методы обнаружения: Информация не найдена |
|||
Solar AppScreenerОписание: Комплексное решение, сочетающее возможности статического (SAST), динамического (DAST) анализа, анализа состава ПО (SCA) и анализа цепочки поставок (SCS). Помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки. Технологии анализа исполняемых файлов позволяют применять SAST, даже когда разработка закончена и нет возможности проанализировать исходный код проекта. Поддерживает следующие языки: Java, JavaScript, Java for Android, Solidity, Ruby, VBScript, Rust, Dart, TypeScript, Groovy, ABAP, Perl, Scala, Apex, PL/SQL, HTML5, Python, T/SQL, C/C++, Objective-C, COBOL, Pascal, Go, JSP, Kotlin, Visual Basic 6.0, VBA, PHP, Delphi, , 1С, C#, LotusScript, Swift, , Vyper Направление: AppSec Тип: DAST Класс: DAST Вендор: АО «СОЛАР СЕКЬЮРИТИ» Лицензия: Подписка Категория: PS Версия / издание: 3.15.0 Сертификация ФСТЭК: Сертификат № 4825 от 3.06.2024 Доступность в РФ: Доступен Форматы отчетов: HTML, PDF, CSV, DOCX, SARIF, JSON, отправка по почте Методы обнаружения: OWASP Top 10, БДУ ФСТЭК России, PCI Security Standards Council, HIPAA Compliance, SANS CWE, ОУД4, CWE |
NiktoОписание: Сканер уязвимостей веб‑серверов, проверяющий на наличие опасных файлов и CGI‑скриптов, устаревшего ПО, неправильных конфигураций и слабых HTTP‑заголовков на основе обширной базы плагинов. Направление: AppSec Тип: DAST Класс: DAST Вендор: Sullo, community Лицензия: GPL-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: TXT, HTML, XML, CSV Методы обнаружения: CVE, Own vulnerability database Ссылка: https://github.com/sullo/nikto |
|||
Checkmarx DASTОписание: Инструмент является частью платформы Chackmarx one,для динамического тестирования безопасности веб-приложений и API, который автоматически выявляет уязвимости в работающих приложениях, интегрируясь в CI/CD-процессы.Он поддерживает REST, SOAP и GraphQL API,а также работает с любыми языками программирования, так как анализирует HTTP-трафик, а не исходный код. Направление: AppSec Тип: DAST Класс: DAST Вендор: Checkmarx Ltd. Лицензия: professional, enterprise, установка в качестве дополнительного инструмента Категория: PS Версия / издание: Checkmarx one: Single-Tenant - 3.40, Multi-Tenant Version - 3.42 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, PDF, JSON, CSV Методы обнаружения: CVSS, PCI DSS version 4, OWASP Top 10 API 2023 |
ArachniОписание: Фреймворк для динамического тестирования безопасности веб‑приложений, поддерживающий модульную архитектуру, распределённое сканирование и обнаружение уязвимостей вроде XSS, SQLi и RFI. Направление: AppSec Тип: DAST Класс: DAST Вендор: Arachni Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 1.5.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, XML, JSON, YAML Методы обнаружения: OWASP Top 10, CWE (частично) |
|||
Veracode DASTОписание: Решение для динамического анализа безопасности веб-приложений и API,которое автоматически выявляет уязвимости (включая OWASP Top 10) без доступа к исходному коду.Инструмент поддерживает веб-приложения на Java, ASP.NET, Ruby on Rails, JavaScript, Perl, PHP, Python,а также SPA и фреймворки и REST API, анализируя поведение через браузерный интерфейс. Направление: AppSec Тип: DAST Класс: DAST Вендор: Veracode Лицензия: Enterprise Категория: PS Версия / издание: June 30, 2025 Доступность в РФ: Доступен Форматы отчетов: Dashboard, CSV Методы обнаружения: CWE, OWASP Top 10 Ссылка: https://www.veracode.com/products/dynamic-analysis-dast |
Akto OSSОписание: Open‑source DAST и API‑security инструмент, выполняющий автоматическое обнаружение API и сканирование REST/GraphQL/gRPC‑интерфейсов на уязвимости с интеграцией в CI/CD. Направление: AppSec Тип: DAST Класс: DAST Вендор: Akto Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, Интерфейс Методы обнаружения: OWASP API Security Top 10 |
|||
InvictiОписание: DAST‑решение для автоматизированного сканирования веб‑приложений и API, использующее proof‑based scanning: инструмент безопасно эксплуатирует найденные уязвимости и предоставляет доказательства их реальной эксплуатации для снижения числа ложных срабатываний. Направление: AppSec Тип: DAST Класс: DAST Вендор: Invicti Security Лицензия: SaaS, On-premise, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, HTML, PDF, CSV, JSON Методы обнаружения: OWASP Top 10, CVE, Proof-based scanning Ссылка: https://www.invicti.com/online-web-application-security-scanner/ |
SkipfishОписание: Высокопроизводительный веб‑сканер уязвимостей, использующий активный краулинг и эвристики для обнаружения XSS, SQL‑инъекций и других ошибок, формируя интерактивные HTML‑отчёты. Направление: AppSec Тип: DAST Класс: DAST Вендор: Michal Zalewski (lcamtuf) Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 2.10b Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML Методы обнаружения: Информация не найдена |
|||
FortiDASTОписание: Платформа динамического анализа безопасности веб‑приложений от Fortinet, выполняющая black‑box тестирование с продвинутым краулингом и фуззингом, основанным на базе знаний FortiGuard Labs. Направление: AppSec Тип: DAST Класс: DAST Вендор: Fortinet Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, HTML, PDF, CSV Методы обнаружения: OWASP Top 10, CVSS-based risk scoring, Fuzzing Ссылка: https://www.fortinet.com/products/dynamic-application-security-testing |
arachni-restОписание: REST‑обёртка и инфраструктура вокруг движка Arachni для автоматизированного DAST‑сканирования веб‑приложений и интеграции с пайплайнами CI/CD. Направление: AppSec Тип: DAST Класс: DAST Вендор: Arachni Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс, JSON Методы обнаружения: OWASP Top 10 |
|||
AppSpiderОписание: DAST‑сканер от Rapid7 (предшественник InsightAppSec), предназначенный для тестирования веб‑приложений и сервисов, поддерживающий аутентифицированный скан, сложные сценарии и интеграцию в CI/CD. Направление: AppSec Тип: DAST Класс: DAST Вендор: Rapid7 Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: HTML, PDF, CSV Методы обнаружения: OWASP Top 10, CVE |
ShellingОписание: это генератор payload-ов для OS command injection, поддерживающий множество платформ (Linux, Windows, BSD), техник обхода фильтров (base64, hex, Unicode, пробелы через ${IFS}, pipe chaining) и типов инъекций (reverse/bind shells, file read/write, privilege escalation). Работает как утилита на Python, с фокусом на создание сложных цепочек команд для Burp Suite. Направление: AppSec Тип: DAST Класс: DAST Вендор: ewilded Лицензия: Custom license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: CLI Методы обнаружения: Custom payload |
|||
AppCheckОписание: Коммерческий DAST‑сканер из Великобритании, ориентированный на регулярное сканирование веб‑приложений и инфраструктуры с упором на интеграцию в процессы безопасности и отчётность для соответствия требованиям. Направление: AppSec Тип: DAST Класс: DAST Вендор: AppCheck Ltd. Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: HTML, PDF, CSV Методы обнаружения: OWASP Top 10, CVE Ссылка: https://appcheck-ng.com/ |
command-injection-attackerОписание: форк Shelling от PortSwigger. Добавляет Burp-расширения для автоматизированного fuzzing параметров ввода на command injection, генерацией и выполнением payload'ов прямо из Burp Intruder/Scanner в реальном времени. Направление: AppSec Тип: DAST Класс: DAST Вендор: PortSwigger Лицензия: Custom license Категория: OSS Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard Методы обнаружения: Custom payload Ссылка: https://github.com/PortSwigger/command-injection-attacker |
|||
Netsparker EnterpriseОписание: Облачное DAST‑решение (ранее Netsparker, теперь часть Invicti), предназначенное для масштабного сканирования веб‑приложений и API с автоматической валидацией уязвимостей и широкой интеграцией в DevSecOps. Направление: AppSec Тип: DAST Класс: DAST Вендор: Invicti Security Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, HTML, PDF, CSV, JSON Методы обнаружения: OWASP Top 10, CVE, Proof-based scanning Ссылка: https://www.invicti.com/products/invicti-enterprise/ |
||||
ProbelyОписание: DAST‑сервис, ориентированный на DevSecOps и малый/средний бизнес: предоставляет автоматическое сканирование веб‑приложений и API, интеграцию с CI/CD и тикет‑системами, а также понятные рекомендации для разработчиков. Направление: AppSec Тип: DAST Класс: DAST Вендор: Probely Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, HTML, JSON Методы обнаружения: OWASP Top 10, CVE Ссылка: https://probely.com/ |
||||
| AppSec | DAST | Whitebox Fuzzing | CrusherОписание: программный комплекс, комбинирующий несколько методов динамического и статического анализав частности, фаззинг (ИСП Fuzzer) и символьное выполнение (в качестве одного из движков может выступать Sydr). В основе комплекса ИСП Crusher находится ИСП Fuzzer – инструмент проведения фаззинг-тестирования Направление: AppSec Тип: DAST Класс: Whitebox Fuzzing Вендор: ИСП РАН Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: XML, JSON Методы обнаружения: БДУ ФСТЭК |
FernflowerОписание: Декомпилятор ИЗ Java Bytecode в Java, на текущий момент разрабатываемый и поддерживаемый компанией JetBrains Направление: AppSec Тип: DAST Класс: Whitebox Fuzzing Вендор: JetBrains Лицензия: Apache License Version 2.0 Категория: OSS Версия / издание: pycharm/253.28294.256 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Информация не найдена Методы обнаружения: Информация не найдена |
CI FuzzОписание: Платформа white‑box fuzz‑тестирования от Code Intelligence, использующая покрытие и обратную связь из кода для генерации тестов, автоматического поиска уязвимостей и интеграции фаззинга в CI/CD и IDE. Направление: AppSec Тип: DAST Класс: Whitebox Fuzzing Вендор: Code Intelligence Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, HTML, JSON Методы обнаружения: Coverage-guided fuzzing, White-box fuzzing |
BinSideОписание: платформа для анализа бинарного кода, разрабатываемая на основе фреймворка BinNavi, который переводит ассемблерный код в представление REIL. Данное представление позволяет анализировать код независимо от процессорной архитектуры и операционной системы. Интегрирован с дизассемблерами IDA PRO и Ghidra, которые используются для обратной разработки. Направление: AppSec Тип: DAST Класс: Whitebox Fuzzing Вендор: ИСП РАН Лицензия: Информация не найдена Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Информация не найдена Методы обнаружения: CWE |
|||
Peach FuzzerОписание: Коммерческий протокольный фаззер, поддерживающий генерацию тестов на основе моделей протоколов и форматов данных, с функциями coverage‑guided и white‑box тестирования для поиска логических и эксплуатационных уязвимостей. Направление: AppSec Тип: DAST Класс: Whitebox Fuzzing Вендор: Peach Tech (Synopsys) Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: HTML, XML, TXT Методы обнаружения: Model-based fuzzing, Coverage-guided fuzzing |
Sydr/Sydr-fuzzОписание: Инструмент для гибридного фаззинга и динамического анализа, сочетающий символьное выполнение (Sydr) с современными фаззерами (libFuzzer, AFL++, Honggfuzz) для поиска уязвимостей в ПО.Он поддерживает языки C/C++, Python (Atheris), Java (Jazzer), JavaScript (Jazzer.js), Lua (luzer) и C# (Sharpfuzz), а также автоматизирует сбор покрытия и анализ ошибок Направление: AppSec Тип: DAST Класс: Whitebox Fuzzing Вендор: ИСП РАН Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: html, JSON, lcov Методы обнаружения: CVE, CWE |
|||
Synopsys DefensicsОписание: Платформа для протокольного фаззинга, предоставляющая более 300 готовых тестовых наборов и возможность моделирования новых протоколов, применяющая генеративный и coverage‑guided подход для поиска ошибок в реализации. Направление: AppSec Тип: DAST Класс: Whitebox Fuzzing Вендор: Synopsys Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: HTML, XML, CSV Методы обнаружения: Model-based fuzzing, Coverage-guided fuzzing Ссылка: https://www.synopsys.com/software-integrity/security-testing/fuzz-testing.html |
JQF + ZestОписание: Фреймворк для покрытийно-ориентированного фаззинга Java-приложений, сочетающий генеративное тестирование (QuickCheck) с алгоритмом Zest для автоматического создания семантически корректных входных данных. Позволяет выявлять логические ошибки, уязвимости безопасности и случаи аварийного завершения в JVM-программах. Направление: AppSec Тип: DAST Класс: Whitebox Fuzzing Вендор: Rohan Padhye a.k.a. rohanpadhye Лицензия: BSD-2-Clause license Категория: OSS Версия / издание: 2.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON Методы обнаружения: Информация не найдена |
|||
Fortra Enterprise FuzzingОписание: Решение корпоративного уровня для фаззинг‑тестирования приложений, файловых форматов и протоколов, использующее приоритизацию входов и комбинирующее white‑box и black‑box техники для масштабного поиска уязвимостей. Направление: AppSec Тип: DAST Класс: Whitebox Fuzzing Вендор: Fortra Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: HTML, PDF Методы обнаружения: Coverage-guided fuzzing, Model-based fuzzing Ссылка: https://www.fortra.com/resources/guides/enterprise-fuzzing |
SharpFuzzОписание: Инструмент для AFL-based fuzz-тестирования .NET-приложений, интегрирующийся с afl-fuzz для white-box fuzzing, выявляя краши и уязвимости в C# и других .NET-совместимых языках. Поддерживает in-process и out-of-process тестирование для эффективного анализа кода. Направление: AppSec Тип: DAST Класс: Whitebox Fuzzing Вендор: Nemanja Mijailovic a.k.a. Metalnem Лицензия: MIT license Категория: OSS Версия / издание: 2.2.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: TXT Методы обнаружения: CVE, CWE |
|||
LLVM libFuzzerОписание: Библиотека для in-process fuzz-тестирования, выявляющая уязвимости и краши в программах на C, C++ и других языках, поддерживаемых LLVM.Использует coverage-guided подход и интегрируется с Clang для эффективного анализа кода. Направление: AppSec Тип: DAST Класс: Whitebox Fuzzing Лицензия: Apache License v2.0 with LLVM Exceptions Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: TXT Методы обнаружения: CVE, CWE |
||||
cargo-fuzzОписание: Инструмент для фаззинга Rust-кода, который предоставляет удобный интерфейс для работы с libFuzzer. Он автоматизирует процесс создания,запуска и управления фаззинг-таргетами, включая генерацию покрытия кода, минимизацию корпуса тестов и анализ ошибок Направление: AppSec Тип: DAST Класс: Whitebox Fuzzing Вендор: Rust Fuzzing Authority Лицензия: Apache-2.0 license, MIT license Категория: OSS Версия / издание: 0.13.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: TXT Методы обнаружения: CVE, CWE |
||||
| AppSec | MAST | Анализатор MobApp | СтингрейОписание: Инструмент, осуществляющий автоматизированный анализ защищенности мобильных приложений iOS и Android с помощью технологий машинного обучения. Комбинирует динамический (DAST), статический (SAST) и интерактивный (IAST) методы анализа, а также тестирование программных интерфейсов (API ST). Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: ООО «Стингрей Технолоджиз» Лицензия: Saas, On-premise Категория: PS Версия / издание: 2025.5 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, JSON Методы обнаружения: ОУД4, OWASP Mobile Top 10, PCI DSS |
RMSОписание: Runtime Mobile Security (RMS) на базе FRIDA — это веб-интерфейс, который помогает управлять приложениями для Android и iOS во время их выполнения.С помощью RMS можно выгружать все загруженные классы и связанные с ними методы, перехватывать их на лету, отслеживать аргументы методов и возвращаемые значения,загружать пользовательские скрипты и выполнять множество других задач. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: Mobile security Лицензия: GPL-3.0 license Категория: OSS Версия / издание: 1.5.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: веб-интерфейс Методы обнаружения: OWASP Ссылка: https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security |
App-RayОписание: Решение для комплексного автоматизированного аудит безопасности мобильных приложений для платформ Android и iOS. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: GuardSquare Лицензия: Информация не найдена Категория: PS Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Информация не найдена Ссылка: https://app-ray.co/ |
MobSFОписание: Платформа для исследования безопасности мобильных приложений на Android, iOS и Windows Mobile.MobSF может использоваться для различных целей, таких как защита мобильных приложений, тестирование на проникновение, анализ вредоносных программ и анализ конфиденциальности. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: Mobile Security Framework Лицензия: GPL-3.0 license Категория: OSS Версия / издание: 4.4 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Методы обнаружения: OWASP Mobile, MSTG Ссылка: https://github.com/MobSF/Mobile-Security-Framework-MobSF |
|||
Codified SecurityОписание: Решение автоматизированного поиска уязвимостей с возможностью добавления пользовательских правил для сканирования. Поддерживает платформы Android и iOS. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: Codified security Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Информация не найдена Ссылка: https://codifiedsecurity.com/ |
ObjectionОписание: Инструментарий для исследования мобильных приложений во время выполнения,разработанный Frida и призванный помочь оценить уровень безопасности мобильных приложений Android и IOS Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: SensePost hacking team Лицензия: GPL-3.0 license Категория: OSS Версия / издание: 1.11.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: REPL Методы обнаружения: Информация не найдена |
|||
ImmuniWebОписание: Платформа для тестирования безопасности мобильных приложений. Поддерживает статический (SAST) и динамический (DAST) анализ, выявление уязвимостей в iOS и Android приложениях, а также тестирование API и бэкенд-серверов. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: ImmuniWeb Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Online Методы обнаружения: OWASP Mobile Top 10, GDPR, PCI DSS |
MitmProxyОписание: Набор инструментов, которые предоставляют интерактивный прокси-сервер с поддержкой SSL/TLS для перехвата HTTP/1, HTTP/2 и WebSockets. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: OSS Project Лицензия: MIT license Категория: OSS Версия / издание: 12.2 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: txt, terminal output, yaml, JSON Методы обнаружения: Информация не найдена |
|||
QuixxiОписание: Набор инструментов, который включает в себя Quixxi Scan для комплексной оценки уязвимостей SAST и DAST, Quixxi App Shield для обеспечения полной безопасности приложений и Quixxi App Supervise для удалённого управления приложениями и мониторинга угроз. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: Quixxi Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, XML, JSON Методы обнаружения: OWASP Mobile Top 10, GDPR, PCI DSS, NIST, CVE Ссылка: https://quixxi.com/ |
DrozerОписание: Платформа для обеспечения безопасности и проведения атак на Android. Она позволяет выполнять действия,которые может совершать установленное приложение, например использовать механизм межпроцессного взаимодействия Android (IPC) и взаимодействовать с операционной системой. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: Reversec Labs Лицензия: BSD 3-Clause License Категория: OSS Версия / издание: 3.1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: TXT Методы обнаружения: Информация не найдена |
|||
Q-mastОписание: Автоматизированное решение Mobile Application Security Testing (MAST) от Quokka, сочетающее SAST, DAST, IAST и принудительное исполнение путей для комплексного анализа мобильных приложений iOS и Android без доступа к исходному коду, с поддержкой генерации SBOM и непрерывного мониторинга приложений. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: Quokka Лицензия: Enterprise, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, PDF, JSON, SBOM Методы обнаружения: OWASP MASVS, NIAP, NIST, CVE |
OstorlabОписание: Платформа для автоматизации тестирования безопасности мобильных приложений,объединяющая SAST, DAST и анализ API. Основные функции: сканирование APK, IPA и приложений из магазинов,автоматическое обнаружение уязвимостей, непрерывный мониторинг и использование ИИ для динамического тестирования и проверки исправлений. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: Ostorlab Лицензия: Apache License, Также есть возможность приобрести пакеты услуг: Community, Access, Business, Enterprise Категория: OSS Версия / издание: 12 May 2025 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: dashboard, PNG, SVG, CSV, PDF Методы обнаружения: CVE, OWASP MASVS, PCI DSS, HIPAA |
|||
NowSecure PlatformОписание: Облачная платформа для тестирования безопасности мобильных приложений, выполняющая автоматизированный анализ iOS и Android‑приложений на реальных устройствах и сопоставляющая результаты со стандартами OWASP, GDPR, PCI и другими регуляторными требованиями. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: NowSecure Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, PDF, JSON Методы обнаружения: OWASP Mobile Top 10, GDPR, PCI DSS |
NeedleОписание: Модульный фреймворк для тестирования безопасности iOS‑приложений, поддерживающий статический и динамический анализ, внедрение кода, перехват трафика и интеграцию с Frida для глубокой оценки безопасности мобильных приложений. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: OWASP Лицензия: GPL-3.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Логи, TXT Методы обнаружения: OWASP MASVS, MSTG (частично) Ссылка: https://github.com/OWASP/needle |
|||
AppknoxОписание: Платформа для проверки безопасности мобильных приложений с уклоном на бинарный анализ, объединяющая SAST, DAST и тестирование API более чем по 140 автоматизированным тест‑кейсам для iOS и Android и интегрируемая в DevOps/CI/CD. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: Appknox Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, PDF, JSON Методы обнаружения: OWASP Mobile Top 10, CVSS Ссылка: https://www.appknox.com/ |
QARKОписание: Quick Android Review Kit — инструмент для анализа Android‑приложений, выполняющий статический анализ APK и исходного кода для выявления типичных ошибок конфигурации, небезопасных разрешений и уязвимостей. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: LinkedIn (community maintained) Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 2.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, TXT Методы обнаружения: OWASP Mobile Top 10 (частично) Ссылка: https://github.com/linkedin/qark |
|||
AppSweepОписание: Инструмент тестирования безопасности мобильных приложений от GuardSquare (AppSweep), анализирующий Android‑приложения и SDK, находящий уязвимости и предоставляющий рекомендации по их устранению через удобный облачный сервис. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: GuardSquare Лицензия: SaaS, freemium Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, HTML, JSON Методы обнаружения: OWASP Mobile Top 10 Ссылка: https://www.guardsquare.com/appsweep-mobile-application-security-testing |
AndroBugsОписание: Фреймворк для анализа безопасности Android‑приложений, который автоматически сканирует APK на наличие небезопасных настроек, слабых криптографических практик и распространённых уязвимостей. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: AndroBugs Лицензия: GPL-3.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: TXT, HTML Методы обнаружения: OWASP Mobile (частично) |
|||
Edgescan MobileОписание: Компонент платформы Edgescan, расширяющий возможности оценки уязвимостей и пен‑тестинга на мобильные приложения iOS и Android, совмещающий автоматизированное сканирование, ручное тестирование и форензику устройств с централизованной отчётностью. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: Edgescan Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, PDF, CSV Методы обнаружения: CVSS, CISA KEV, EPSS |
QVMAP (Qiling VM Android Profiling)Описание: Инструмент на базе фреймворка эмуляции Qiling, предназначенный для динамического анализа и профилирования поведения Android‑приложений, в том числе для выявления вредоносной активности и нарушений политики безопасности. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: Qiling Framework Лицензия: GPL-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Логи, JSON Методы обнаружения: Информация не найдена |
|||
FridaОписание: Инструмент динамической инструментализации, позволяющий внедрять JavaScript‑код в процессы Android и iOS для перехвата вызовов функций, обхода защит и исследования поведения мобильных приложений в рантайме. Направление: AppSec Тип: MAST Класс: Анализатор MobApp Вендор: Frida Project Лицензия: wxWindows Library Licence 3.1 Категория: OSS Версия / издание: 16.5.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Логи, скрипты Методы обнаружения: Информация не найдена Ссылка: https://github.com/frida/frida |
||||
| AppSec | RASP | Анализатор при Runtime | FortifyОписание: Технология самозащиты приложений в реальном времени, которая интегрируется в приложение для обнаружения и блокировки атак, отслеживая его поведение и перехватывая попытки эксплуатации уязвимостей Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Microfocus Лицензия: Enterprise Категория: PS Версия / издание: 20.3.0 Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Информация не найдена Ссылка: https://www.microfocus.com/ru-ru/documentation/fortify-application-defender/ |
OpenRASPОписание: набор инструментов RASP с открытым исходным кодом от Baidu, который использует перехватчики и инструменты во время выполнения для защиты веб-приложений.Вместо того чтобы просто фильтровать входные данные, он анализирует потоки выполнения на предмет аномального поведения, которое может указывать на атаку.Поддерживаемые платформы: Java (Tomcat, JBoss, Jetty, Spring Boot), PHP Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Baidu Лицензия: Apache-2.0 License Категория: OSS Версия / издание: 1.3.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, CSV Методы обнаружения: OWASP Top 10, CVE |
AppSec.CryptexОписание: Решение для шифрования и защиты мобильных приложений от запуска в небезопасной среде. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: ООО «АппСек Солюшенс» Лицензия: SaaS, On-Premise Категория: PS Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Информация не найдена Ссылка: https://appsec-cryptex.ru/ |
Hdiv CE (RAST)Описание: Платформа, предоставляющая подробные отчеты о процессе работы приложения путем встраивания специального агента с целью снятия метрик. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Hdiv security Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 3.5.2 Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс Методы обнаружения: OWASP Top 10, application agent Ссылка: https://github.com/hdiv/hdiv |
|||
JscramblerОписание: Платформа для защиты JavaScript-кода, предлагающая инструменты для обфускации кода, защиты от реверс-инжиниринга и мониторинга клиентской части веб-приложений. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Jscrambler Лицензия: Code Integrity: Starter, Enterprise, managed Services; Webpage Integrity: Visibility, PCI DSS v4, Forms Control, Managed Services Категория: PS Версия / издание: 8.5 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON Методы обнаружения: PCI DSS v4.0, OWASP Top 10, GDPR, CCPA, NIST, HIPAA Ссылка: https://jscrambler.com/ |
freeRASP AndroidОписание: Библиотека RASP для Android, реализующая встроенную защиту мобильных приложений: обнаружение рутованных устройств, отладчиков, эмуляторов, репакетинга и попыток внедрения кода, с отправкой событий безопасности в систему мониторинга. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Talsec Лицензия: MIT license (open-source часть), freemium SDK Категория: OSS Версия / издание: 6.13.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Логи, JSON Методы обнаружения: Root/Jailbreak detection, Repackaging detection, Debugging detection |
|||
Signal SciencesОписание: Решение компании Fastly сочетающее в себе WAF и RASP платформу комбинированные в целях защиты в реальном времени приложений от хакерских атак. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Fastly Лицензия: Подписка Категория: PS Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс Методы обнаружения: информация недоступна Ссылка: https://www.fastly.com/products/web-application-api-protection |
freeRASP iOSОписание: Мобильный in‑app RASP SDK для iOS, обеспечивающий обнаружение джейлбрейка, подмены приложений, отладки, небезопасной среды выполнения и других признаков компрометации, предназначенный для встраивания в банковские и финтех‑приложения. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Talsec Лицензия: MIT license (open-source часть), freemium SDK Категория: OSS Версия / издание: 6.13.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Логи, JSON Методы обнаружения: Jailbreak detection, App tampering, Debugger detection |
|||
AppdomeОписание: No-code платформа для внедрения защиты в мобильные приложения на Android и iOS.Поддерживает более 400 мер безопасности, включая RASP, шифрование, анти-отладку и защиту от рутирования Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Appdome Лицензия: Appdome DEV, Appdome SRM, Appdome GO Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, JSON Методы обнаружения: OWASP MASVS, PCI DSS / PCI SPoC, GDPR, HIPAA, SOC 2, FINRA Ссылка: https://www.appdome.com/mobile-app-security/mobile-rasp-and-app-shielding/ |
Free-RASP CommunityОписание: Кроссплатформенный RASP‑SDK, предоставляющий единую библиотеку для защиты мобильных приложений на Android, iOS, Flutter, Cordova и React Native от реверс‑инжиниринга, клонирования, запуска в небезопасной ОС и других runtime‑угроз. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Talsec Лицензия: MIT license (open-source часть), freemium SDK Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Логи, JSON Методы обнаружения: Root/Jailbreak detection, Repackaging detection, Unsafe environment detection |
|||
LiappОписание: No-code платформа для защиты мобильных приложений с функциями шифрования, антифрода, защиты интерфейса и встроенной RASP-защитой.Поддерживает Android, iOS и Harmony OS, работает с Java, Kotlin, Swift и Objective-C. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Lockin company Лицензия: Onsite, Business, For Game, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, CSV/Excel (XLSX), HTML, TXT/Log files Методы обнаружения: OWASP Top 10 |
android-raspОписание: Лёгкое open source‑решение RASP для Android, ориентированное на защиту приложений от запуска на скомпрометированных устройствах, проверку целостности приложения и выявление небезопасных условий выполнения. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: SecureVale Лицензия: MIT license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Логи Методы обнаружения: Root detection, Tamper detection |
|||
ImpervaОписание: Комплексное решение для защиты веб-приложений и API от кибератак, включая DDoS, инъекции и эксплуатацию уязвимостей.Оно сочетает технологии WAF и RASP, обеспечивая многоуровневую безопасность как на периметре, так и внутри приложений в реальном времени. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Imperva Лицензия: Информация не найдена Категория: PS Версия / издание: 4.6 4 июня 2024 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard Методы обнаружения: OWASP Top 10, SOC2 Ссылка: https://www.imperva.com/learn/application-security/runtime-security/ |
rasp-pocОписание: Proof‑of‑concept RASP‑агент для JVM, демонстрирующий перехват и модификацию критичных классов Java (например, ProcessBuilder) с помощью ASM для предотвращения эксплуатации уязвимостей типа RCE и других атак в рантайме. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Community Лицензия: MIT license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Логи Методы обнаружения: Java bytecode instrumentation, Runtime behavior monitoring |
|||
AppsealingОписание: Решение для защиты мобильных приложений, которое использует технологию RASP (Runtime Application Self-Protection) для мониторинга и блокировки угроз в реальном времени.Оно подходит для приложений на Android и iOS, обеспечивая безопасность без необходимости вносить изменения в исходный код Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: DoveRunner Лицензия: Android: Free Trial, Professional, Enterprise; IOS: Professional Категория: PS Версия / издание: Для android - 2.34.0.0, Для Ios - 1.11.2.0, Hybrid App - не было релизов с 2023 года Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, PDF, HTML, CSV, JSON, XML Методы обнаружения: OWASP (MASVS), OWASP Mobile Top 10, PCI DSS Ссылка: https://doverunner.com/ |
||||
FalcoОписание: Система мониторинга безопасности в режиме реального времени для контейнеров и облачной инфраструктуры.Она поддерживает Kubernetes, Docker, OpenShift и другие платформы, отслеживая поведение приложений и систем, выявляя аномалии и потенциальные угрозы с помощью правил и событий. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Sysdig Лицензия: Enterprise Категория: PS Версия / издание: 0.42 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, Syslog, File (запись в файлы на диске), Standard Output (stdout), HTTP, gRPC Методы обнаружения: MITRE ATT&CK, PCI DSS, NIST Ссылка: https://falco.org/ |
||||
Contrast ProtectОписание: RASP‑компонент платформы Contrast Security, который встраивается в рантайм приложения и в реальном времени отслеживает выполнение кода, блокируя атаки на уровне приложения и уменьшая число ложных срабатываний за счёт контекстной информации. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Contrast Security Лицензия: Подписка, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON, CSV Методы обнаружения: OWASP Top 10, Runtime dataflow analysis Ссылка: https://www.contrastsecurity.com/platform/contrast-protect |
||||
Talsec RASP+Описание: Коммерческий мобильный RASP‑SDK, встраиваемый в приложения Android и iOS, обеспечивающий защиту от рута/джейлбрейка, хуков, внедрения кода, отладки, эмуляторов и небезопасных окружений в реальном времени. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Talsec Лицензия: Коммерческий SDK, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, JSON, Отчёты Security Report Методы обнаружения: Root/Jailbreak detection, Hooking detection, App integrity verification Ссылка: https://talsec.app/rasp |
||||
Pradeo RASPОписание: Мобильное RASP‑решение, встроенное в приложение и защищающее его в рантайме от вредоносных приложений, сетевых атак (MITM) и эксплойтов уязвимостей ОС, с возможностью настраиваемых реакций на обнаруженные угрозы. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Pradeo Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, PDF Методы обнаружения: Malware detection, Network attack detection, Environment risk analysis Ссылка: https://pradeo.com/en/solutions/mobile-application-security/rasp/ |
||||
Digital.ai Application Protection (RASP)Описание: RASP‑функциональность в составе платформы Digital.ai, обеспечивающая защиту мобильных и серверных приложений от реверса, подмены, отладки и эксплуатации уязвимостей за счёт встроенных в бинарь механизмов самозащиты. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Digital.ai Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, PDF Методы обнаружения: Code tampering detection, Debugging detection, Runtime integrity checks Ссылка: https://digital.ai/runtime-application-self-protection |
||||
Promon SHIELDОписание: In‑app RASP‑решение для мобильных приложений, ориентированное на банковский и корпоративный сектор, обеспечивающее защиту кода и рантайма от подмены, рут‑окружений, эмуляторов, оверлеев и других форм мобильного фрода. Направление: AppSec Тип: RASP Класс: Анализатор при Runtime Вендор: Promon AS Лицензия: Коммерческая лицензия, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Dashboard, Логи Методы обнаружения: Root/Jailbreak detection, Code tampering, Overlay attack detection |
||||
| AppSec | API | ApiSec_WAF | brightsecОписание: AI-powered платформа управления безопасностью приложений, встраиваемая на всех жизненных этапах SDLC. Платформа предлагает DAST решение для проверки API на наличие уязвимостей. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Bright Security Лицензия: Enterprise Категория: PS Версия / издание: 13.8 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, JSON, SARIF Методы обнаружения: Информация не найдена Ссылка: https://brightsec.com/ |
42Crunch API SecurityОписание: платформа для обеспечения безопасности API, позволяющая автоматизировать проверку безопасности API Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: 42Crunch company Лицензия: GPL-3.0 license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: SARIF, PDF, JSON Методы обнаружения: OWASP Top 10 API |
fastly API securityОписание: Интегрированное решение для защиты API, встроенное в платформу Fastly Next-Gen WAF Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Fastly Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс Методы обнаружения: Информация не найдена |
API Security EmpireОписание: Набор практик, советов и графов, собранных для помощи в проведении penetration testing для API endpoint-ов Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Momen Eldawakhly (Cyber Guy) Лицензия: GPL-3.0 licence Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Fortify WebinspectОписание: инструмент динамического тестирования безопасности приложений (DAST), который автоматически выявляет уязвимости приложений в развернутых веб-приложениях и сервисах. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: OpenText Лицензия: Enterprise Категория: PS Версия / издание: 24.4 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: Информация не найдена Ссылка: https://www.microfocus.com/ru-ru/documentation/fortify-webinspect/ |
AstraОписание: программный комплекс для тестирования REST API на проникновение. Может принимать API collection в качестве входных данных для тестирования решения на наличие известных уязвимостей Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Flipkart Incubator Лицензия: Apache-2.0 license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: OWASP Top 10 API, JWT attacks, Template Injection, CORS Misconfigurations |
|||
ВебмониторэксОписание: Российская платформа, обеспечивающая защиту от атак, поиск уязвимостей веб-приложений, определение структуры API и поддержку внешнего периметра компании в актуальном состоянии. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: ООО "Вэбмониторэкс" Лицензия: Enterprise Категория: PS Сертификация ФСТЭК: Есть, сертификат ФСТЭК России №4899 от 28.12.2024 Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: OWASP Top 10, Zero day Ссылка: https://webmonitorx.ru/ |
SSL Kill Switch 2Описание: Blackbox решение для отключения проверки SSL/TLS сертификатов. После установки и внедрения решение патчит низкоуровневые функции, используемые для проверки сертификатов, что приводит к нарушению процессов проверки подлинности. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Alban Diquet a.k.a. nabla-c0d3 Лицензия: MIT license Категория: OSS Версия / издание: v0.14 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс |
|||
appsentinelsОписание: Cпециализированная платформа для защиты API, которая обеспечивает мониторинг, обнаружение и предотвращение атак в реальном времени. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Appsentinels Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: Информация не найдена Ссылка: https://appsentinels.ai/ |
gravitee-api-managementОписание: Легковесное решение для реализации управления доступом к API. Позволяет регистрировать API, конфигурировать политики безопасности и отслеживать метрики с помощью дашбордов. Имеет Enterprise версию (недоступна в РФ). Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Gravitee-io Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 4.9.7 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: Информация не найдена Ссылка: https://github.com/gravitee-io/gravitee-api-management |
|||
stackhawkОписание: Современное средство динамического тестирования безопасности приложений (DAST) и средства тестирования безопасности API, которое выполняется в CI/CD, что позволяет разработчикам быстро находить и устранять проблемы с безопасностью до их попадания в рабочую среду. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: StackHawk Inc Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: Информация не найдена Ссылка: https://www.stackhawk.com/ |
LAST (latio)Описание: AppSec решение, позволяющее проводить проверки безопасности кода с использованием LLM моделей, таких как OpenAI и Gemini для выявления уязвимостей. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Latiotech Лицензия: GPL-3.0 license Категория: OSS Версия / издание: 1.2.7 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: OpenAI, Gemini |
|||
PT Application FirewallОписание: Межсетевой экран уровня веб-приложений (Web Application Firewall). Предназначен для защиты веб-ресурсов организации от известных и неизвестных атак, включая OWASP Top 10, автоматизированных атак, атак на стороне клиента и атак нулевого дня. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: АО"Позитив Текнолоджиз" Лицензия: Enterprise Категория: PS Версия / издание: 4.1.0 Сертификация ФСТЭК: Есть, сертификат ФСТЭК России №3455 от 27.10.2015 Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: OWASP Top 10, WASC, Zero day |
UsageFinderОписание: Инструмент для поиска уязвимостей, которые возникают в результате некорректного использования внутренних или внешних API. Входит в набор инструментов MATE, предназначенных для поиска багов в C/C++ коде. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Galois Inc Лицензия: BSD-3-Clause license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: Информация не найдена |
|||
Q-APISecОписание: решение для обеспечения безопасности API, позволяющее организациям своевременно инвентаризировать, защищать и анализировать все программные интерфейсы. Поддерживает интеграцию с различными языками программирования и фреймворками, включая Java Spring, и использует технологический стек с такими компонентами, как KAFKA, Postgres и Docker. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: SQUAD Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: OWASP Top 10 Ссылка: https://squadsec.ru/ |
WSO2 API ManagerОписание: комплексная, масштабируемая платформа, предназначенная для создания и управления. Позволяет прототипировать и создавать дизайн API, управлять его жизненным циклом и мониторить производительность интерфейса. Продукт имеет Enterprise версию (недоступна в РФ). Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: WSO2 Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 4.6.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Graph analytics, PDF Методы обнаружения: Информация не найдена |
|||
SolidWall WAFОписание: Интеллектуальный сетевой экран (WAF) уровня бизнес-логики для защиты веб‑приложений. Инструмент ориентирован на on-premise внедрения для компаний уровня Enterprise и облачное внедрение для компаний SMB-сектора. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: SolidSoft Лицензия: Enterprise Категория: PS Версия / издание: 2.17 Сертификация ФСТЭК: Есть, сертификат ФСТЭК России №4652 от 15.02.2023 Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: Информация не найдена |
ProbelyОписание: Веб-сканер уязвимостей, позволяющий тестировать безопасность веб-приложений и API, обнаруживать уязвимости и предоставлять рекомендации по их устранению. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: SNYK Лицензия: BSD 3-Clause license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: PDF, Docx Методы обнаружения: OWASP Top 10, PCI-DSS, ISO-27001 |
|||
Salt SecurityОписание: Платформа безопасности API, обеспечивающая непрерывное обнаружение API, оценку рисков и защиту от атак с использованием машинного обучения и поведенческой аналитики. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Salt Security Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, JSON Методы обнаружения: OWASP Top 10, ML-based anomaly detection Ссылка: https://salt.security/ |
AktoОписание: Платформа обеспечения безопасности и тестирования API c использованием AI агентов. Доступна Enterprise версия. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Akto security Лицензия: MIT license Категория: OSS Версия / издание: 1.75.8 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Методы обнаружения: OWASP Top10, HackerOne Top10 |
|||
CloudGuard WAFОписание: Облачное решение Web & API Security от Check Point, использующее контекстный ИИ для защиты веб-приложений и API от известных и неизвестных атак, включая OWASP Top 10 и zero‑day. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Check Point Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, JSON Методы обнаружения: OWASP Top 10, AI-based threat prevention, Zero day |
||||
Cloudflare API ShieldОписание: Компонент платформы Cloudflare, обеспечивающий защиту API за счёт WAF, rate limiting, mTLS, проверки схем и обнаружения аномалий в API‑трафике. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Cloudflare Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, JSON Методы обнаружения: OWASP Top 10, Schema validation, Rate limiting, Bot mitigation |
||||
Imperva API SecurityОписание: Часть платформы Imperva Application Security, обеспечивающая обнаружение и защиту публичных и теневых API, включая поведенческий анализ трафика и интеграцию с облачным WAF. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Imperva Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, JSON, PDF Методы обнаружения: OWASP Top 10, Behavior analytics, API discovery |
||||
Akamai API SecurityОписание: Модуль платформы Akamai App & API Protector, обеспечивающий защиту API и микросервисов с помощью WAF, WAAP и поведенческого анализа, включая защиту от ботнетов и DDoS. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Akamai Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, JSON Методы обнаружения: OWASP Top 10, Bot protection, DDoS mitigation Ссылка: https://www.akamai.com/products/app-and-api-protector |
||||
WallarmОписание: Платформа Web & API Security с управляемым WAF, автоматическим обнаружением API, защитой от уязвимостей и атак нулевого дня в мультиоблачных и Kubernetes‑окружениях. Направление: AppSec Тип: API Класс: ApiSec_WAF Вендор: Wallarm Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Интерфейс, JSON Методы обнаружения: OWASP Top 10, API discovery, Anomaly detection Ссылка: https://www.wallarm.com/ |
||||
| codecoverage | SonarQube EEОписание: SonarQube Enterprise Edition — платформа для анализа качества и безопасности исходного кода с поддержкой более 30 языков, включая Java, JavaScript, TypeScript, C#, C/C++, Python, PHP, Go. Предоставляет визуализацию технического долга, интеграцию с DevOps-платформами и собственный механизм контроля качества. Направление: codecoverage Вендор: SonarSource Лицензия: Trial, Enterprise Edition Категория: PS Версия / издание: 3.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, JSON, XML, CSV Методы обнаружения: CWE, OWASP Top 10, SANS Top 25 Ссылка: https://www.sonarsource.com/plans-and-pricing/enterprise/ |
llvm-covОписание: Инструмент llvm-cov отображает информацию о покрытии кода для программ, в которые добавлены инструменты для создания данных профиля. Направление: codecoverage Лицензия: Apache License v2.0 Категория: OSS Версия / издание: LLVM - 20.1.8 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: gcov, TXT, HTML, JSON, lcov, covmapping Методы обнаружения: Информация не найдена |
||
Visual Studio Enterprise Code CoverageОписание: Встроенный механизм покрытия кода в Visual Studio Enterprise для .NET и C++, показывающий процент покрытия по сборкам, классам и методам, с подсветкой покрытых/непокрытых строк в редакторе и экспортом отчётов. Направление: codecoverage Вендор: Microsoft Лицензия: Visual Studio Enterprise Категория: PS Версия / издание: Visual Studio 2022 Enterprise Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: встроенный отчёт, Cobertura XML (экспорт), DGML Методы обнаружения: line coverage, block coverage |
JaCoCoОписание: Библиотека для анализа покрытия кода на Java. Направление: codecoverage Лицензия: Eclipse Public License Version 2.0 (EPL) Категория: OSS Версия / издание: 0.8.13 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, XML, CSV Методы обнаружения: Информация не найдена Ссылка: https://github.com/jacoco/jacoco |
|||
dotCoverОписание: Коммерческий инструмент покрытия кода для .NET от JetBrains, интегрируемый с Visual Studio и Rider, поддерживающий MSTest, NUnit, xUnit и предоставляющий детальные отчёты по строкам, ветвям и тестам‑покрывателям. Направление: codecoverage Вендор: JetBrains Лицензия: Коммерческая, входит в dotUltimate Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: HTML, XML, JSON, TeamCity service messages Методы обнаружения: statement coverage, branch coverage |
CodacyОписание: Codacy автоматически анализирует исходный код и выявляет проблемы по мере их возникновения. Благодаря статическому анализу кода Codacy уведомляет о проблемах с безопасностью, покрытием кода, дублированием и сложностью кода в каждом коммите и запросе на вытягивание. Поддерживаемые языки программирования: Python, JavaScript, TypeScript, Java, Kotlin, Scala, PHP, C#, Go, Ruby, Swift, Objective-C, C, C++, Rust, Dart, Haskell, Elixir Направление: codecoverage Вендор: Codacy Лицензия: Apache-2.0/MIT license Категория: OSS Версия / издание: 14.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, lcov, XML Методы обнаружения: Информация не найдена Ссылка: https://github.com/codacy |
|||
Parasoft Code Coverage (C/C++test/Jtest)Описание: Модуль покрытия в продуктах Parasoft C/C++test и Jtest, поддерживающий линии, блоки, ветви, пути и MC/DC; интегрируется с IDE и CI, применим для unit‑ и интеграционных тестов, включая safety‑critical проекты. Направление: codecoverage Вендор: Parasoft Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Скорее всего недоступен Форматы отчетов: HTML, XML, JUnit, Cobertura Методы обнаружения: line, statement, branch, path, MC/DC coverage |
gcovОписание: Свободно распространяемая утилита для исследования покрытия кода, которая входит в состав компиляторов GCC. Программа генерирует точное количество исполнений для каждого оператора в программе и позволяет добавить аннотации к исходному коду. Поставляется как стандартная утилита в составе GCC Направление: codecoverage Вендор: Free Software Foundation Лицензия: GPL Категория: OSS Версия / издание: 15.2 (в составе GCC 15.2) Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: .gcov, HTML (with gcovr), TXT (with gcovr), CSV(with gcovr) Методы обнаружения: line coverage |
|||
Squish CocoОписание: Инструмент покрытия кода для C, C++, C#, SystemC, Tcl и QML, дополняющий UI‑тесты Squish; собирает метрики по операторам, ветвям и условиям и формирует отчёты для анализа качества тестирования. Направление: codecoverage Вендор: froglogic / Qt Group Лицензия: Коммерческая Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: HTML, Text, XML, JUnit, Cobertura Методы обнаружения: statement coverage, branch coverage, condition coverage, MC/DC (частично) |
CoberturaОписание: Открытый инструмент покрытия кода для Java, интегрируется с Maven и Ant, собирает данные во время выполнения тестов и формирует детализированные отчёты о покрытии классов, методов и строк. Направление: codecoverage Вендор: Cobertura project Лицензия: GPL-2.0-or-later Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, XML Методы обнаружения: line coverage, branch coverage |
|||
RKTracerОписание: Коммерческий инструмент покрытия кода RKTracer для C, C++, CUDA, C#, Java, Kotlin, JavaScript, TypeScript, Python, Go и Swift, работающий с любыми компиляторами и целевыми платформами, включая встраиваемые системы. Направление: codecoverage Вендор: RKValidate Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: HTML, XML, Text, Cobertura Методы обнаружения: line coverage, function coverage, branch coverage |
Coverage.pyОписание: Стандартный де‑факто инструмент покрытия для Python, отслеживает выполненные строки и ветви кода, поддерживает параллельный запуск тестов и объединение результатов. Направление: codecoverage Вендор: Coverage.py project Лицензия: Apache-2.0 License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: text, HTML, XML, JSON Методы обнаружения: line coverage, branch coverage Ссылка: https://coverage.readthedocs.io/ |
|||
Cantata CoverageОписание: Компонент покрытия в тестовом фреймворке Cantata для C/C++, поддерживающий все уровни покрытия, в том числе MC/DC, и предназначенный для сертифицируемых систем (авиация, авто, медтехника). Направление: codecoverage Вендор: QA Systems Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: HTML, XML, Text Методы обнаружения: statement, branch, decision, MC/DC coverage Ссылка: https://www.qa-systems.com/tools/cantata-unit-testing/ |
pytest-covОписание: Плагин для pytest, интегрирующий Coverage.py и упрощающий сбор и агрегирование отчётов покрытия при запуске тестов Python. Направление: codecoverage Вендор: pytest-cov maintainers Лицензия: MIT License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: text, HTML, XML, JSON Методы обнаружения: line coverage, branch coverage |
|||
NCoverОписание: Корпоративное решение покрытия кода для .NET, предоставляющее дашборды, расширенные метрики (в т.ч. условное покрытие), интеграции с CI и централизованное хранение результатов. Направление: codecoverage Вендор: NCover Лицензия: Desktop, Code Central, Collector (коммерческие) Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: HTML, XML, proprietary dashboard Методы обнаружения: statement coverage, branch/condition coverage Ссылка: https://www.ncover.com/ |
Istanbul / nycОписание: Инструмент покрытия для JavaScript/TypeScript, выполняющий инструментирование кода и формирующий отчёты о покрытии тестами для Node.js и фронтенд‑проектов. Направление: codecoverage Вендор: istanbuljs Лицензия: BSD-3-Clause License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: text, HTML, lcov, JSON Методы обнаружения: statement, branch, function, line coverage |
|||
Squish Test Center CoverageОписание: Веб‑платформа управления тестами Squish Test Center, умеющая импортировать и визуализировать отчёты покрытия (в т.ч. из Squish Coco и других средств), связывая тест‑кейсы с участками кода. Направление: codecoverage Вендор: froglogic / Qt Group Лицензия: Коммерческая Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: HTML dashboard, JSON, XML (импорт) Методы обнаружения: агрегация coverage‑метрик из внешних инструментов |
scoverageОписание: Инструмент покрытия кода для Scala, предоставляющий метрики покрытия выражений и ветвей и интегрирующийся с SBT и Maven. Направление: codecoverage Вендор: scoverage project Лицензия: Apache-2.0 License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: XML, HTML Методы обнаружения: statement coverage, branch coverage Ссылка: https://github.com/scoverage/scalac-scoverage-plugin |
|||
BullseyeCoverageОписание: Коммерческий инструмент покрытия для C и C++, популярный в embedded‑разработке; поддерживает множество компиляторов и платформ, даёт детальные отчёты по операторам и ветвям. Направление: codecoverage Вендор: Bullseye Testing Technology Лицензия: Коммерческая Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: HTML, Text, XML Методы обнаружения: statement coverage, branch coverage Ссылка: https://www.bullseye.com/ |
OpenCppCoverageОписание: Open source‑инструмент покрытия кода для C++ под Windows, не требующий пересборки приложения, поддерживает HTML‑отчёты и интеграцию с Visual Studio и Jenkins. Направление: codecoverage Вендор: OpenCppCoverage project Лицензия: GPL-3.0 License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, XML (через экспортеры) Методы обнаружения: line coverage |
|||
VectorCAST/CoverОписание: Модуль покрытия в экосистеме VectorCAST для C/C++/Ada, сертифицированный для использования в проектах с требованиями DO‑178C и аналогичных стандартов, поддерживающий MC/DC и другие уровни. Направление: codecoverage Вендор: Vector Informatik Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: HTML, XML, Text Методы обнаружения: statement, branch, MC/DC coverage |
CoverletОписание: Кроссплатформенная библиотека покрытия для .NET, интегрируемая с dotnet test, генерирующая отчёты в OpenCover, Cobertura, JSON и других форматах. Направление: codecoverage Вендор: Coverlet maintainers Лицензия: MIT License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: cobertura, opencover, JSON, lcov Методы обнаружения: line coverage, branch coverage, method coverage |
|||
Parasoft C/C++test (coverage‑only use)Описание: Хотя C/C++test — комплексный инструмент, его часто используют только как мотор покрытия: он интегрируется с различными компиляторами и RTOS, что удобно для измерения покрытия на встраиваемых таргетах. Направление: codecoverage Вендор: Parasoft Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Скорее всего недоступен Форматы отчетов: HTML, XML, Cobertura, JUnit Методы обнаружения: line, branch, path, MC/DC coverage |
EMMAОписание: Набор инструментов для измерения покрытия Java‑кода, обеспечивающий анализ без необходимости доступа к исходникам и генерирующий отчёты с различными метриками покрытия. Направление: codecoverage Вендор: EMMA Лицензия: CPL‑1.0‑based Категория: OSS Версия / издание: Информация не найдена (проект устаревший) Сертификация ФСТЭК: Нет Доступность в РФ: Доступен (архив) Форматы отчетов: HTML, text, XML Методы обнаружения: class, method, line coverage Ссылка: https://emma.sourceforge.net |
|||
ReportGeneratorОписание: Генератор и визуализатор отчётов покрытия кода, который объединяет результаты из разных инструментов (например, OpenCover, Cobertura, JaCoCo, lcov, Coverlet) и строит подробные интерактивные отчёты. Направление: codecoverage Вендор: ReportGenerator Лицензия: Apache-2.0 License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, HTMLSummary, Latex, XML, JSON Методы обнаружения: агрегация метрик из входных отчётов Ссылка: https://reportgenerator.io |
||||
go-test-coverageОписание: Утилита для Go, использующая стандартный go test -cover и анализирующая отчёты покрытия, чтобы валидировать минимальный порог и выделять проблемные пакеты или файлы. Направление: codecoverage Вендор: vladopajic Лицензия: MIT License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: text, JSON, HTML (через интеграции) Методы обнаружения: line coverage (через go test) |
||||
OpenCovОписание: Самостоятельно развёртываемый веб‑вьюер истории покрытия, совместимый с Coveralls‑подобным API; агрегирует и визуализирует метрики покрытия по коммитам и веткам. Направление: codecoverage Вендор: OpenCov Лицензия: MIT License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Web‑интерфейс, JSON API Методы обнаружения: агрегация coverage‑метрик из внешних репортов |
||||
Codecov Uploader (OSS client)Описание: Открытый клиент/интеграция для сервиса Codecov, который умеет собирать и объединять отчёты покрытия из разных инструментов и языков и отправлять их в Codecov для отображения в PR и дашбордах. Направление: codecoverage Вендор: Codecov Лицензия: Apache-2.0 License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: различные форматы входных отчётов (lcov, cobertura, jacoco, opencover и др.) Методы обнаружения: агрегация и нормализация coverage‑данных |
||||
| Application Security Posture Management | Phoenix Security PlatformОписание: облачная платформа для управления уязвимостями (ASPM), которая автоматически анализирует безопасность приложений, API и облачных сред, выявляя и приоритизируя риски. Интегрируется с CI/CD-инструментами (GitHub Actions, GitLab, Jenkins) и облачными платформами (AWS, Azure, Kubernetes), обеспечивая комплексную защиту на всех этапах разработки." Направление: Application Security Posture Management Вендор: Security Phoenix Ltd. Лицензия: Free, Professional, Enterprise Категория: PS Версия / издание: 3.28 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard Методы обнаружения: CWE, CISA KEV, EPSS, CVE, OWASP Top 10 |
Defect DojoОписание: Платформа с открытым исходным кодом для управления уязвимостями, которая автоматизирует сбор, анализ и приоритизацию результатов сканирования безопасности (SAST, DAST, SCA) в единой системе.Она поддерживает интеграцию с более чем 150 инструментами (например, Burp Suite, OWASP ZAP), обеспечивает генерацию отчётов и двунаправленную синхронизацию с Jira, что упрощает контроль безопасности на всех этапах DevOps-цикла Направление: Application Security Posture Management Вендор: The Security Dojo Лицензия: BSD 3-Clause License Категория: OSS Версия / издание: 2.48.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, PDF, AsciiDoc Методы обнаружения: OWASP ASVS, CWE Ссылка: https://github.com/DefectDojo/django-DefectDojo, https://defectdojo.com/ |
||
OX Security PlatformОписание: Платформа для управления безопасностью приложений, которая помогает командам выявлять и устранять 5% критически важных уязвимостей, сокращая шум от ложных срабатываний. Поддерживает Java, Python, JavaScript, Go, C#, Ruby, Scala, TypeScript и другие языки, интегрируясь с CI/CD и облачными средами для сквозной защиты SDLC. Направление: Application Security Posture Management Вендор: OXsecurity Лицензия: Подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, PDF, CSV, CycloneDX Методы обнаружения: CVE, CWE Ссылка: https://www.ox.security/application-security-platform/ |
Open ASPMОписание: Полноценная open source‑платформа Application Security Posture Management, агрегирующая результаты SAST, DAST, SCA, secret‑сканеров и IaC‑анализаторов (gitleaks, trufflehog, grype, syft и др.), с инвентаризацией активов, риск‑скорингом и API для автоматизации. Направление: Application Security Posture Management Вендор: Open ASPM Project Лицензия: Информация не найдена Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, JSON Методы обнаружения: CVE (через интеграции), CWE, Secrets, IaC misconfig |
|||
AppSOC ASPMОписание: PointGuard AI (ранее AppSOC) - платформа для защиты приложений и AI-стэка, которая обеспечивает полный цикл безопасности: от обнаружения уязвимостей до runtime-защиты, включая тестирование моделей ИИ и управление рисками в цепочке поставок. Поддерживает интеграцию с приложениями на Python, Java, JavaScript, Go, C# и других языках, а также совместима с облачными средами (AWS, Azure, GCP) и инструментами DevOps (GitHub Actions, Jenkins) Направление: Application Security Posture Management Вендор: PointGuard AI Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard Методы обнаружения: CVSS, EPSS, VulDB, CISA KEV, OWASP top 10, SANS top 25 |
Faraday CommunityОписание: Open source‑платформа управления уязвимостями, собирающая результаты множества сканеров (Nessus, OpenVAS, Burp, Nmap и др.) в единый рабочий простор, с поддержкой рабочих процессов, тэгов и отчётности. Направление: Application Security Posture Management Вендор: Infobyte Лицензия: GPL‑v2 Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Web‑интерфейс, HTML, JSON Методы обнаружения: CVE (через подключённые сканеры), CWE (через маппинг) |
|||
KonduktoОписание: Платформа для оркестрации и управления безопасностью приложений, которая интегрирует данные из различных инструментов безопасности, обеспечивая централизованное управление уязвимостями. Поддерживает автоматизацию, настраиваемые рабочие процессы и интеграцию с CI/CD для ускорения триажа и устранения уязвимостей. Направление: Application Security Posture Management Вендор: Kondukto Лицензия: Enterprise Категория: PS Версия / издание: 1.104 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, CSV Методы обнаружения: CWE Ссылка: https://kondukto.io/ |
PatrOwlОписание: Многоисточниковая платформа для оркестрации и корреляции результатов сканирования (SAST, DAST, infra‑сканеры), позволяющая управлять задачами, активами и уязвимостями через веб‑интерфейс и API. Направление: Application Security Posture Management Вендор: PatrOwl Лицензия: Информация не найдена Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: Dashboard, JSON Методы обнаружения: CVE (через интеграции) Ссылка: https://patrowl.io/ |
|||
Legit SecurityОписание: AI-платформа ASPM, автоматически обнаруживающая и устраняющая уязвимости в SDLC, включая AI-код, утечки секретов и риски цепочки поставок, с интеграцией в Python, Java, CI/CD (GitHub Actions, Jenkins, GitLab) и облака (AWS, Azure, GCP). Обеспечивает полную видимость и автоматизацию управления рисками. Направление: Application Security Posture Management Вендор: Legit Security Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard Методы обнаружения: Информация не найдена |
Mixeway PlatformОписание: Open source‑платформа DevSecOps/ASPM, объединяющая результаты сканеров кода, контейнеров и инфраструктуры, строящая риск‑карту приложений и автоматизирующая создание задач на исправление. Направление: Application Security Posture Management Вендор: Mixeway Лицензия: Информация не найдена Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: Dashboard, JSON Методы обнаружения: CVE (через интеграции), policy‑based risk Ссылка: https://mixeway.io/ |
|||
ArmorCodeОписание: это AI-платформа для управления безопасностью приложений (ASPM), которая объединяет данные из 285+ инструментов безопасности (SAST, DAST, SCA и др.) для автоматического выявления, приоритизации и исправления уязвимостей в SDLC. Поддерживает интеграцию с проектами на Java, Python, JavaScript, Go, C# и других языках, а также с CI/CD-стэком (GitHub Actions, Jenkins) и облачными средами (AWS, Azure) для сквозной защиты от кода до продакшена Направление: Application Security Posture Management Вендор: ArmorCode Лицензия: Trial, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard Методы обнаружения: Информация не найдена Ссылка: https://www.armorcode.com/ |
JackhammerОписание: Платформа для массового управления результатами сканирования веб‑приложений и хостов, агрегирующая данные от множества инструментов (в т.ч. DAST) и позволяющая централизованно отслеживать уязвимости. Направление: Application Security Posture Management Вендор: Ola Cabs Лицензия: Apache‑2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Web‑интерфейс, JSON Методы обнаружения: CVE (через подключённые сканеры) |
|||
HexwayОписание: Платформа для управления безопасностью разработки, которая автоматизирует обнаружение, дедупликацию и устранение уязвимостей, интегрируясь с инструментами вроде Kaiten, Jira и GitLab. Она предоставляет дашборды для мониторинга состояния безопасности, минимизирует ложные срабатывания и ускоряет DevSecOps, обеспечивая точное управление рисками. Направление: Application Security Posture Management Вендор: ООО «Софт Плюс» Лицензия: Community, Enterprise Категория: PS Версия / издание: 0.65.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, JSON Методы обнаружения: CVE, CWE, OWASP Top 10 Ссылка: https://hexway.ru/ |
SeccubusОписание: Инструмент для автоматизации повторных сканирований и сравнения результатов (drift‑анализ), умеет импортировать отчёты популярных сканеров и подсвечивать новые уязвимости между итерациями. Направление: Application Security Posture Management Вендор: Seccubus Лицензия: Информация не найдена Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: HTML, CSV Методы обнаружения: CVE (через внешние сканеры) Ссылка: https://www.seccubus.com/ |
|||
Veracode ASPMОписание: Решение для управления рисками безопасности приложений, которое объединяет данные из различных источников (SAST, DAST, SCA, облачные сервисы и др.) в единую панель управления, обеспечивая автоматизированное выявление, корреляцию и приоритизацию уязвимостей на основе их критичности для бизнеса 14. Благодаря интеграции с популярными инструментами, такими как Jira,а также функциям анализа корневой причины и контекстуализации рисков, решение ускоряет исправление уязвимостей Направление: Application Security Posture Management Вендор: Veracode Лицензия: Veracode custom license Категория: PS Версия / издание: June 25, 2025 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard Методы обнаружения: OWASP Top 10, CWE, CVSS |
KvasirОписание: Веб‑интерфейс и платформа над результатами Nessus и других сканеров, поддерживающая управление активами, уязвимостями и приоритизацией исправлений в стиле лёгкого VM/ASPM‑решения. Направление: Application Security Posture Management Вендор: KvasirSecurity Лицензия: Информация не найдена Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Web‑интерфейс, CSV Методы обнаружения: CVE (через Nessus/др.) |
|||
AppSec.HubОписание: DevSecOps платформа автоматизированного управления и контроля процессов разработки защищенного программного обеспечения. Направление: Application Security Posture Management Вендор: ООО «СВОРДФИШ СЕКЬЮРИТИ» Категория: PS Версия / издание: 2025.2 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, PDF, JPEG, EXCEL, CSV Методы обнаружения: OWASP Top 10:2021 Ссылка: https://appsec-hub.ru/ |
Watchdog (Flipkart)Описание: Платформа Flipkart для управления уязвимостями и результатами сканеров, обеспечивающая централизованный учёт, трекинг исправлений и интеграцию с DevOps‑процессами. Направление: Application Security Posture Management Вендор: Flipkart Лицензия: Информация не найдена Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Web‑интерфейс, JSON Методы обнаружения: CVE (через интегрированные сканеры) |
|||
TARSОписание: Единая платформа безопасности приложений и управления уязвимостями, SAST, DAST, SECRETS, SCAПоддерживаемые языки: Java, JavaScript, TypeScript, Go, Rust, Python, Scala, C#, C, C++, Ruby, PHP, Kotlin, Swift и другие. Также поддерживает 200+ Интегрированных сканеров Направление: Application Security Posture Management Вендор: Tars Лицензия: Персональный, Профессиональный, Корпоративный Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard Методы обнаружения: CVE, CWE Ссылка: https://tars.co/ru/ |
OpenVAS + Greenbone Community UIОписание: Open source‑стек сканирования и управления уязвимостями, включающий движок OpenVAS и веб‑интерфейс Greenbone, используемый как основа для построения собственных ASPM/VM‑решений. Направление: Application Security Posture Management Вендор: Greenbone Networks Лицензия: GPL Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: HTML, XML, CSV Методы обнаружения: CVE, CVSS, SCAP Ссылка: https://www.openvas.org/ |
|||
CyberCodeReviewОписание: CyberCodeReview — это платформа для автоматизированного анализа уязвимостей, поддерживающая интеграцию с 25+ инструментами сканирования и обработку отчетов в формате JSON. Функционал включает дедупликацию результатов,валидацию уязвимостей и экспорт данных в систему управления задачами Jira. Направление: Application Security Posture Management Вендор: ООО "СМЛ Секьюрити" Лицензия: Medium, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard Методы обнаружения: CVSS |
OpsMx Delivery Shield (community components)Описание: Платформа для защиты CI/CD и приложений, включающая open source‑компоненты для агрегации сигналов безопасности, управления политиками и построения единой картины posture по пайплайнам доставки. Направление: Application Security Posture Management Вендор: OpsMx Лицензия: Информация не найдена Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: Dashboard, JSON Методы обнаружения: CVE (через сканеры), pipeline policy checks Ссылка: https://www.opsmx.com/blog/top-open-source-application-security-tools/ |
|||
Defect Dojo ProОписание: Платформа класса ASPM для управления уязвимостями, которая агрегирует результаты сканирования из 180+ инструментов (SAST, DAST, SCA) и автоматизирует их корреляцию, дедупликацию и приоритизацию. платформа для оркестрации тестирования безопасности, отслеживания уязвимостей и их устранения.Она позволяет интегрироваться с более чем 180 инструментами безопасности и автоматизировать процессы в DevSecOps. Направление: Application Security Posture Management Вендор: DefectDojo Лицензия: Pro Категория: PS Версия / издание: 2.47 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Dashboard, HTML, PDF Методы обнаружения: CVE, CWE Ссылка: https://defectdojo.com/ |
||||
| Container Security | Qualys Kubernetes and Container SecurityОписание: Облачная платформа безопасности, которая обеспечивает полный жизненный цикл защиты контейнеров: от разработки до production. Она сканирует контейнеры и Kubernetes-кластеры на наличие уязвимостей, неправильных конфигураций и угроз безопасности. Направление: Container Security Вендор: Qualys Лицензия: Trial, Подписка Категория: PS Версия / издание: 1.41 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Информация не найдена |
ThreatMapperОписание: Инструмент поиска угроз в prod платформах и их ранжирования на основе анализа рисков. Позволяет обнаруживать уязвимые программные компоненты, раскрытые секреты (пароли, ключи) и отклонения от лучших практик безопасности.уязвимые программные компоненты, раскрытые секреты (пароли, ключи) и отклонения от лучших практик безопасности. Инструмент использует комбинацию агентских (ИИ) проверок и собственных правил сканирования. Направление: Container Security Вендор: Deepfence Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 2.5 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс, XLSX, CSV Методы обнаружения: Cloud scanning tasks, AI agent scanning |
||
Deepfence ThreatStrykerОписание: платформа для обнаружения, приоритизации и защиты от угроз в облачных окружениях, контейнерах и Kubernetes. С использованием технологии eBPF позволяет не только находить уязвимости, но и определять реально опасные из них. Направление: Container Security Вендор: Deepfence Лицензия: Enterprise Категория: PS Версия / издание: 2.5 Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс |
ciliumОписание: Инструмент ,использующий технологию eBPF (позволяет запускать мини программы внутри ядра) для обеспечения сетевого взаимодействия и его безопасности внутри kubernetes. Позволяет создавать безопасные и высокопроизводительные сети внутри кластеров. Инструмент позволяет внедрять сетевые политики на уронях L3-L7 и производить балансировку траффика, что позволяет инструменту полностью заменить kube-proxy Направление: Container Security Вендор: Cilium Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 1.18 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: tty Методы обнаружения: Netrork policies, CNI Ссылка: https://github.com/cilium/cilium |
|||
Aqua Container Security Platfrom (CNAPP)Описание: Единая платформа защиты облачных приложений. Позволяет выявлять, приоритизировать и снижать риски на каждом этапе жизненного цикла разработки программного обеспечения. Направление: Container Security Вендор: Aqua security Лицензия: Trial, SaaS Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Информация не найдена Ссылка: https://www.aquasec.com/products/container-security/ |
Kubernetes Security PlatformОписание: Платформа для проведения анализа рисков и последующего принятия мер для их снижения, путем харденинга облачной инфраструктуры. Встраивается в процессе всего жизненного цикла контейнеров: 'build', 'deploy' и 'runtime'. Направление: Container Security Вендор: Stackrox Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 4.8.6 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: tty |
|||
AccuKnox Container SecurityОписание: Облачная платформа, построенная на принципах 'zero trust' для защиты контейнеров на всех этапах жизненного цикла: от CI/CD до runtime. Его ключевая особенность — использование технологий eBPF и KubeArmor для обеспечения защиты на уровне ядра Linux в режиме реального времени. Направление: Container Security Вендор: AccuKnox Лицензия: Подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Форматы отчетов: Веб-интерфейс Методы обнаружения: CIS, PCI, NIST, MITRE |
TetragonОписание: Компонент инструмента Cilium, позволяющий проводить анализ работающих в инфраструктуре kubernetes приложений в реальном времени на уровне ядра. Использует технологию eBPF при проведении анализа, что позволяет связывать конкретные процессы с конкретными подами/контейнерами/namespaces. Направление: Container Security Вендор: Cilium Лицензия: Apache-2.0/BSD/GPL license Категория: OSS Версия / издание: 1.6.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Kaspersky Container Security (KCS)Описание: решение, которое обеспечивает безопасность контейнерных приложений на всех этапах жизненного цикла: от разработки до эксплуатации. Продукт позволяет защитить бизнес-процессы организации, соответствовать стандартам и нормам безопасности, а также помогает реализовать принцип безопасной разработки ПО (DevSecOps). Направление: Container Security Вендор: АО "Лаборатория Касперского" Лицензия: Trial, Enrerprise (оплата за каждую ноду). Категория: PS Версия / издание: 1.2.2 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс Методы обнаружения: БДУ ФСТЭК, MITRE, NIST, PCI Ссылка: https://www.kaspersky.ru/enterprise-security/container-security |
HarborОписание: Бесплатный реестр для хранения Docker образов. Позволяет предоставлять доступ к образам с помощью политик, а также умеет сканировать образы на наличие уязвимостей. Направление: Container Security Вендор: Aqua security Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 2.14 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Security policy |
|||
LuntryОписание: Решение для защиты контейнеров и Kubernetes-сред от угроз на всех этапах жизненного цикла. Поддерживает отечественные ОС и БДу ФСТЭК, а также позволяет работать с интеграцией других систем безопасности: SIEM, Policy engine, ASOC. Направление: Container Security Вендор: Luntry Лицензия: Enrerprise (оплата за каждую ноду) Категория: PS Версия / издание: 17.07.2024 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: PDF, HTML, XML, JSON, CSV Методы обнаружения: Информация не найдена Ссылка: https://luntry.ru/ |
CalicoОписание: CNI плагин для kubernetes, позволяющий с помощью набора API и eBPF управлять политиками, применяемыми к любым объектам облачной инфраструктуры. Направление: Container Security Вендор: Project Calico Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 3.31 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: k8s интерфейс Методы обнаружения: Network policies |
|||
PT Container Security (PT CS)Описание: Высокотехнологичное решение для комплексной защиты инфраструктуры гибридного облака. Обеспечивает безопасность разработки программных систем, использующих механизмы контейнерной виртуализации. Имеет собственную базу уязвимостей. Продукт позволяет с высокой точностью выявлять уязвимости в ОС ALT, ASTRA, Ubuntu, Oracle, Red Hat, РЕД ОС. Направление: Container Security Вендор: АО "Позитив Текнолоджиз" Лицензия: Подписка Категория: PS Версия / издание: 0.7 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Методы обнаружения: NVD, БДУ ФСТЭК, CIS, NIST |
FalcoОписание: Облачное решение для обеспечения безопасности ОС типа Linux. Позволяет детектировать нештатное поведение системы и сообщать потенциальных угрозах безопасности в режиме реального времени. Собираемые события могут быть в дальнейшем проанализорованы с помощью SIEM решений и DLP систем. Направление: Container Security Вендор: Falco security Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 0.42 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Методы обнаружения: kernel detection agent |
|||
КУПОЛ.КонтейнерыОписание: Программный продукт для обеспечения безопасности контейнерных сред разработки. Система позволяет обеспечить безопасность инфраструктуры с использованием контейнерных платформ, проводить оценку рисков на всех этапах работы контейнеров и повысить отказоустойчивость разрабатываемых приложений. Направление: Container Security Вендор: Nota tech (Т1) Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Security policy |
Talos LinuxОписание: Спроектированная с нуля операционная система для запуска kubernetes. В данной ОС убраны все компоненты, кроме необходимых для k8s, взаимодействие с системой происходит только через API. Данное решение, упрощающее архитектуру позволяет максимально минимизировать поверхность атаки на облачную инфраструктуру. Направление: Container Security Вендор: Sidero Labs Лицензия: MPL-2.0 license Категория: OSS Версия / издание: 1.11.5 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: API |
|||
CrossTech Container SecurityОписание: Платформа контейнерной безопасности для Kubernetes и реестров образов с архитектурой однонаправленных соединений, подходящей для формирования zero trust архитектур. Направление: Container Security Вендор: ООО «Кросстех Солюшнс Групп» Лицензия: Enterprise (лицензия по количеству нод) Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: SBOM(SPDX, CycloneDX, PDF, CSV Методы обнаружения: CIS, NIST Ссылка: https://ct-sg.ru/products/crosstech-container-security/ |
TrivyОписание: Универсальный сканер безопасности для контейнеров, Kubernetes, файловых систем и репозиториев, позволяющий находить уязвимости в пакетах ОС и зависимостях языков, формировать SBOM и использовать VEX для фильтрации нерелевантных CVE. Направление: Container Security Вендор: Aqua Security Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: table, json, template, cyclonedx, spdx-json Методы обнаружения: CVE, CVSS, misconfig, SBOM, VEX Ссылка: https://trivy.dev |
|||
Snyk ContainerНаправление: Container Security Вендор: Snyk Категория: PS Доступность в РФ: Недоступен Ссылка: https://snyk.io/ |
Anchore EngineОписание: Серверный компонент для анализа и политики безопасности Docker/OCI‑образов: выполняет CVE‑сканирование, проверку конфигураций, применение кастомных allow/deny‑политик и интеграцию в CI/CD. Направление: Container Security Вендор: Anchore Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена (проект депрекейтнут в пользу Grype/Syft, но остаётся OSS) Сертификация ФСТЭК: Нет Доступность в РФ: Доступен (архив) Форматы отчетов: JSON, API Методы обнаружения: CVE, policy rules (allow/deny lists) |
|||
Red Hat Advanced Cluster Security for Kubernetes (RHACS)Описание: Платформа для обеспечения безопасности kubernetes сред. Позволяет проводить сканирование контейнеров и образов на всем протяжении жизненного цикла. Решение объединяет информацию по найденной уязвимости с данными Kubernetes и сведениями об этапе жизненного цикла, на который влияет уязвимость, чтобы количественно оценить риски безопасности этой уязвимости конкретно для вашей среды. Это также позволяет точно определить, какие поды, пространства имен, деплойменты и кластеры попадают под удар. Направление: Container Security Вендор: Red Hat Лицензия: Trual, Информация не найдена Категория: PS Версия / издание: 4.9 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс Ссылка: https://www.redhat.com/en/resources/advanced-cluster-security-for-kubernetes-datasheet |
ClairОписание: Служба статического анализа контейнерных образов от проекта Quay: индексирует слои образов и сопоставляет пакеты с базами уязвимостей различных дистрибутивов Linux. Направление: Container Security Вендор: Project Quay / Red Hat Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, API Методы обнаружения: CVE, дистрибутивные security‑advisories Ссылка: https://github.com/quay/clair |
|||
Prisma CloudОписание: платформа для управления средствами обеспечения облачной безопасности (CSPM) и защиты облачных рабочих нагрузок (CWPP). Направление: Container Security Вендор: Palo Alto networks Лицензия: SaaS Категория: PS Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Информация не найдена |
kube-benchОписание: Инструмент проверки Kubernetes на соответствие рекомендациям CIS Benchmark: запускается в кластере или на узлах и валидирует настройки API‑сервера, kubelet, etcd и других компонентов. Направление: Container Security Вендор: Aqua Security Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, YAML, JUnit, stdout Методы обнаружения: CIS Kubernetes Benchmark |
|||
Aqua Container SecurityОписание: Платформа для защиты Kubernetes-окружений, управления состоянием безопасности облака (CSPM) и защиты облачных рабочих нагрузок в режиме реального времени (CWPP). Решение работает как с установкой, так и без установки агентов с использованием технологии eBPF. Направление: Container Security Вендор: Aqua Security Лицензия: Trial, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Методы обнаружения: PCI, HIPAA, GDPR, NIST, CIS Ссылка: https://www.aquasec.com/products/container-security/ |
kube-hunterОписание: Инструмент активного тестирования безопасности Kubernetes‑кластеров, имитирующий действия атакующего для поиска открытых панелей, слабых настроек и известных векторов атак. Направление: Container Security Вендор: Aqua Security Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: text, JSON, Kubernetes Secret (опционально) Методы обнаружения: known K8s misconfig & exploits |
|||
GitLab Container ScanningОписание: Встроенная функция безопасности в платформе GitLab, которая автоматически сканирует Docker-образы на наличие известных уязвимостей прямо в CI/CD pipeline Направление: Container Security Вендор: GitLab Лицензия: Free, Premium, Ultimate Категория: PS Версия / издание: 18.0 Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Ссылка: https://docs.gitlab.com/user/application_security/container_scanning/ |
DagdaОписание: Инструмент для анализа Docker‑образов и запущенных контейнеров: выполняет CVE‑сканирование, анализ конфигурации и проверку на наличие вредоносного ПО с использованием ClamAV. Направление: Container Security Вендор: Community Лицензия: GPL-3.0 license Категория: OSS Версия / издание: Информация не найдена (поддержка ограничена) Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, MongoDB storage Методы обнаружения: CVE, malware scan, config checks |
|||
Wiz Container SecurityОписание: Облачная платформа безопасности (CNAPP), обеспечивающая сквозную защиту контейнерных сред: от сканирования образов и кластеров Kubernetes до анализа сетевых связей и управления рисками в мульти‑облачных инфраструктурах. Направление: Container Security Вендор: Wiz Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API), CSV (экспорт) Методы обнаружения: CVE, misconfigurations, IAM risks, network exposure, compliance (CIS, NIST и др.) Ссылка: https://www.wiz.io/ |
OpenSCAP oscap-dockerОписание: Расширение OpenSCAP для анализа контейнерных образов по SCAP‑контенту (CVE, конфигурационные профили, CIS/STIG), позволяющее проводить комплаенс‑сканирование Docker‑образов. Направление: Container Security Вендор: OpenSCAP / Red Hat Лицензия: LGPL-2.1-or-later Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: ARF, HTML, XML Методы обнаружения: SCAP, CVE, compliance profiles Ссылка: https://www.open-scap.org/ |
|||
Sysdig SecureОписание: Коммерческий продукт на базе технологий Sysdig, обеспечивающий защиту контейнеров и Kubernetes в рантайме, сканирование образов, контроль комплаенса и расследование инцидентов. Направление: Container Security Вендор: Sysdig Лицензия: SaaS / Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API) Методы обнаружения: runtime threat detection, CVE, CIS, MITRE ATT&CK, file integrity monitoring |
Sysdig open-sourceОписание: Инструмент глубокой инспекции контейнеров и хостов (CLI и библиотека), собирающий системные вызовы и метаданные контейнеров, который часто используется как основа для построения собственных решений runtime‑безопасности. Направление: Container Security Вендор: Sysdig Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: CLI вывод, pcap‑подобные дампы Методы обнаружения: системные события, container context Ссылка: https://github.com/draios/sysdig |
|||
Check Point CloudGuard Container SecurityОписание: Модуль платформы CloudGuard для предотвращения угроз в контейнерных средах, обеспечивающий сканирование образов, проверку IaC и защиту рантайма с учётом DevOps‑процессов. Направление: Container Security Вендор: Check Point Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: Веб-интерфейс, JSON (API), отчёты для аудита Методы обнаружения: CVE, IaC misconfig, runtime anomalies, compliance policies Ссылка: https://www.checkpoint.com/cloudguard/container-security/ |
kube-capacity / kube-psp-advisor (policy helpers)Описание: CLI‑утилиты, помогающие анализировать использование ресурсов и генерировать безопасные PodSecurityPolicy/Pod Security Standards для Kubernetes, уменьшая риск чрезмерных привилегий контейнеров. Направление: Container Security Вендор: Sysdig / Community Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: YAML (политики), stdout Методы обнаружения: policy misconfig patterns |
|||
Trend Micro Cloud One – Container SecurityОписание: Компонент платформы Cloud One, который выполняет сканирование контейнерных образов, применяет политики безопасности и обеспечивает рантайм‑защиту Kubernetes‑нагрузок. Направление: Container Security Вендор: Trend Micro Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: Веб-интерфейс, JSON (API) Методы обнаружения: CVE, malware, misconfigurations, compliance (PCI, HIPAA, NIST и др.) |
kubeauditОписание: Инструмент аудита Kubernetes‑манифестов и живых кластеров на наличие небезопасных настроек (привилегированные контейнеры, hostPath, отсутствие ограничения ресурсов и т.п.). Направление: Container Security Вендор: Shopify Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, text, log Методы обнаружения: K8s security best practices, misconfiguration rules |
|||
Bitdefender GravityZone Security for ContainersОписание: Решение для защиты Linux‑ и контейнерных рабочих нагрузок, использующее поведенческий анализ и машинное обучение для предотвращения атак и вредоносной активности внутри кластеров. Направление: Container Security Вендор: Bitdefender Лицензия: Enterprise, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: Веб-интерфейс, JSON (API) Методы обнаружения: malware detection, runtime threat detection, CVE, policy‑based controls Ссылка: https://www.bitdefender.com/business/products/container-security.html |
DockleОписание: Линтер для Docker‑образов, проверяющий их на соответствие best practices безопасности (минимизация слоёв, отсутствие root‑запуска, корректные HEALTHCHECK, отсутствие секретов и т.п.). Направление: Container Security Вендор: goodwithtech Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: text, JSON Методы обнаружения: Dockerfile / image best practices, misconfig |
|||
Uptycs CNAPP (Container & K8s Security)Описание: CNAPP‑платформа, объединяющая безопасность контейнеров, Kubernetes, облачной инфраструктуры и конечных точек с поддержкой обнаружения уязвимостей, комплаенса и XDR‑аналитики. Направление: Container Security Вендор: Uptycs Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API), отчёты для аудита Методы обнаружения: CVE, config & posture issues, threat detection, MITRE ATT&CK mapping Ссылка: https://www.uptycs.com/ |
kube-scoreОписание: Статический анализатор манифестов Kubernetes, оценивающий деплойменты по набору правил (безопасность, надёжность, ресурсы) и выдающий рекомендации по улучшению. Направление: Container Security Вендор: kube-score project Лицензия: MIT License Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: text, JSON Методы обнаружения: K8s best practices, security & reliability checks |
|||
SentinelOne Singularity Cloud (Container Security)Описание: Часть платформы Singularity Cloud, обеспечивающая защиту контейнерных рабочих нагрузок и Kubernetes‑кластеров, включая сканирование образов, CWPP‑функции и предотвращение атак на рантайме. Направление: Container Security Вендор: SentinelOne Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API) Методы обнаружения: CVE, runtime behavior analysis, CSPM, K8s posture Ссылка: https://www.sentinelone.com/platform/singularity-cloud/ |
||||
Hillstone CloudArmour CNAPPОписание: CNAPP‑решение, предоставляющее защиту облачных и контейнерных рабочих нагрузок с возможностями микросегментации, zero‑trust‑подхода и двойной защиты хоста и контейнера. Направление: Container Security Вендор: Hillstone Networks Лицензия: Enterprise, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: Веб-интерфейс, JSON (API) Методы обнаружения: host & container threat detection, micro‑segmentation, policy enforcement Ссылка: https://www.hillstonenet.com/solutions/hillstone-cnapp/ |
||||
Sysdig Secure for Cloud (Kubernetes & Container)Описание: Расширенная версия Sysdig Secure, ориентированная на облачные и Kubernetes‑среды: даёт единое окно для уязвимостей образов, комплаенса кластеров и рантайм‑инцидентов. Направление: Container Security Вендор: Sysdig Лицензия: SaaS / Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API) Методы обнаружения: CVE, K8s audit events, runtime policies, CIS Benchmarks |
||||
CloudGuard CNAPP (Workload & Container Protection)Описание: Расширенная CNAPP‑платформа Check Point, в составе которой модуль Container Security интегрируется с CSPM, обеспечивая единый контроль за уязвимостями и рисками для контейнеров и облака. Направление: Container Security Вендор: Check Point Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: Веб-интерфейс, JSON (API), отчёты по комплаенсу Методы обнаружения: CVE, CSPM, KSPM, runtime threat prevention |
||||
CloudDefense.AI Container SecurityОписание: Часть платформы CloudDefense.AI, выполняющая сканирование контейнерных образов и Kubernetes‑кластеров, управление политиками и непрерывный мониторинг на предмет уязвимостей и несоответствий. Направление: Container Security Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API) Методы обнаружения: CVE, misconfigurations, compliance checks Ссылка: https://www.clouddefense.ai/ |
||||
| Secrets Management | Hashicorp VaultОписание: Хранилище секретных данных, поддерживающее различные механизмы авторизации и политики доступа. Можно настроить в качестве сервера KPI. Направление: Secrets Management Вендор: IBM Лицензия: Trial, Enterprise(per secret) Категория: PS Версия / издание: 1.21 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс, API |
AppArmorОписание: Подсистема безопасности Linux, предназначенная для управления доступом приложений к ресурсам, включая файла секретов, с помощью политик. По умолчанию включен в ядро Linux с версии 2.6.36 Направление: Secrets Management Вендор: Canonical Ltd Лицензия: GPL-2.0 license Категория: OSS Версия / издание: 4.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Методы обнаружения: DAC, MAC Ссылка: https://apparmor.net/ |
||
SenhaseguraНаправление: Secrets Management Категория: PS Доступность в РФ: Недоступен |
OPA GatefeeperОписание: Облачный контроллер политик kubernetes, который помогает усиливать используемые политики (написанные с помощью OPA) Направление: Secrets Management Вендор: Open Policy Agent Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 3.21.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, Audit logs |
|||
AppSec.CodeОписание: Платформа для управления жизненным циклом разработки программного обеспечения. Включает в себя решение для управления секретами Направление: Secrets Management Вендор: ООО"Аппсек Солюшенс" Лицензия: Client license (за рабочее место) Категория: PS Версия / издание: 25.4.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Информация не найдена Ссылка: https://appsec-code.ru/ |
InfisicalОписание: Платформа secret management для централизованного хранения конфигурации приложений и их секретов. Имеется возможность версионирования секретов и синхронизации секретов с платформами GitHub, AWS и Vercel. Имеет enterprise версию Направление: Secrets Management Вендор: Infisical Лицензия: MIT license Категория: OSS Версия / издание: 0.154.5 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс |
|||
Cloud KMSНаправление: Secrets Management Вендор: Google Категория: PS Доступность в РФ: Недоступен |
OpenBAOОписание: Открытое решение для централизованного хранения, управления и предоставления секретов. Позволяет создавать динамические секреты с помощью AWS Направление: Secrets Management Вендор: OpenBao Лицензия: MPL-2.0 license Категория: OSS Версия / издание: 2.4.4 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
KeywhizОписание: Решение от компании Square для хранения, распространения и управления секретами. С 2019 года продукт перестал поддерживаться, на данный момент доступен в read-only репозитории github Направление: Secrets Management Вендор: Square Open Source Лицензия: Apache-2.0 license Категория: PS Версия / издание: 0.10.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
GitleaksОписание: инструмент с открытым исходным кодом, предназначенный для выявления утечек конфиденциальных данных (API-ключи, пароли, токены доступа и другие) в архивах, файлах, директориях и репозиториях Направление: Secrets Management Вендор: Gitleaks Лицензия: MIT License. Категория: OSS Версия / издание: 8.30 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: CSV, Junit, JSON, SARIF |
|||
BitWardenОписание: менеджер паролей, который помогает безопасно хранить и автоматически подставлять секреты, а также позволяет безопасно передавать их внутри команды Направление: Secrets Management Вендор: Bitwarden Inc Лицензия: Free, Premium, Teams, Enterprise Категория: PS Версия / издание: 2025.11.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, CSV Ссылка: https://bitwarden.com/ |
TrufflehogОписание: Мощный инструмент для обнаружения, классификации, проверки и анализа секретов. В данном контексте секрет — это учетные данные, которые машина использует для аутентификации перед другой машиной. Сюда входят ключи API, пароли к базам данных, закрытые ключи шифрования и другое. Направление: Secrets Management Вендор: Truffle Security Co Лицензия: AGPL 3 license Категория: OSS Версия / издание: 3.93.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON Методы обнаружения: Secrets detection |
|||
HarborОписание: Реестр артефактов, который защищает их с помощью политик и разграничения доступа на основе ролей, обеспечивает сканирование образов и контроль на отсутствие уязвимостей, а также подпись образов как доверенных. Направление: Secrets Management Вендор: CNCF Лицензия: Apache-2.0 license/on-premise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-платформа Методы обнаружения: Информация не найдена Ссылка: https://goharbor.io/ |
Spring Cloud ConfigОписание: Компонент экосистемы Spring Cloud для централизованного управления конфигурацией, в том числе, связанной с secret management. Для серверной части имеется возможность конфигурации шифрования серктетов и их версионирования, а для клиентской части - динамическое обновление примененных настроек Направление: Secrets Management Вендор: Spring Cloud Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 5.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Spectral Secret ScannerОписание: Решение, предназначенное для автоматического поиска секретов и чувствительных данных в кодовой базе и DevOps‑процессах. Используется на всех стадиях SSDLC с целью предотвращения попадания секретов в production Направление: Secrets Management Вендор: Check Point software Лицензия: Free/Подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Методы обнаружения: Информация не найдена Ссылка: https://spectralops.io/resources-topic/secret-scanning/ |
GerritОписание: веб-система для проверки и ревью кода, тесно интегрированная с системой контроля версий Git. Позволяет просматривать изменения внутри каждого файла и вручную искать присутствие секретов в коде Направление: Secrets Management Вендор: Gerrit Code Review Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 3.13 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс Методы обнаружения: Code review |
|||
Azure Key VaultНаправление: Secrets Management Категория: PS Доступность в РФ: Недоступен |
SOPSОписание: Редактор зашифрованных файлов, который позволяет безопасно хранить секретные данные в виде обычных текстовых файлов, шифруя только значения и оставляя ключи видимыми Направление: Secrets Management Вендор: Mozilla Лицензия: MPL-2.0 license Категория: OSS Версия / издание: 3.11 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: YAML, JSON, ENV, INI Ссылка: https://github.com/getsops/sops |
|||
KnoxОписание: Решение для хранения секретов с использованием распределенных баз данных, называемых проектами. Позволяет хранить большинство типов популярных секретов и обращаться к ним с помощью GET запросов Направление: Secrets Management Вендор: Pinterest Лицензия: Free, Startup, Enterprise Категория: PS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
CheckMateОписание: Инструмент для обнаружения секретов, оставленных в исходном коде, логах и конфигурационных файлах. Направление: Secrets Management Вендор: Adedayo Лицензия: BSD-3-Clause license Категория: OSS Версия / издание: 0.9.5 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: YAML, XML Методы обнаружения: Pattern recognition, heuristics, entropy analysis |
|||
ConsulОписание: Инструмент для управления сервисами и конфигурациями, который интегрируется с HashiCorp Vault. Vault централизованно хранит и управляет секретами, а Consul служит для обнаружения сервисов и формирования безопасного доступа к этим секретам в любой среде Направление: Secrets Management Вендор: HashiCorp Лицензия: On-premise Категория: PS Версия / издание: 1.22.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Tty Методы обнаружения: Service mesh, L7 traffic management |
CoSignОписание: Коммандная утилита, необходимая для создания и валидации подписей ПО в Sigstore - проекте с открытым исходным кодом, созданным для повышения безопасности цепочки поставок ПО с помощью цифровых подписей и верификации программных артефактов Направление: Secrets Management Вендор: Sigstore Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 3.0.2 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Cli |
|||
AWS Secrets ManagerНаправление: Secrets Management Категория: PS Доступность в РФ: Недоступен |
ConfidantОписание: https://lyft.github.io/confidant/ Направление: Secrets Management Вендор: Lyft Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 7.0.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс Методы обнаружения: IAm |
|||
StrongboxОписание: Менеджер паролей, разработанный под экосистему Apple для iPhone и Macbook Направление: Secrets Management Вендор: Applause Лицензия: Подписка Категория: PS Версия / издание: 1.49.24 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс Ссылка: https://strongboxsafe.com/ |
ConjurОписание: Интерфейс для безопасной аутентификации, контроля и аудита машинного доступа к инструментам, приложениям, контейнерам и облачным средам за счет управления секретами. Направление: Secrets Management Вендор: CyberArk Лицензия: GNU LGPL license Категория: OSS Версия / издание: 1.24.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Yandex LockboxОписание: Сервис для создания и хранения секретов в инфраструктуре Yandex Cloud. Обеспечивает централизованное хранение, шифрование и разграничение доступа для секретов, а также позволяет управлять секретами через консоль или с помощью API Направление: Secrets Management Вендор: Yandex Cloud Лицензия: SaaS (по количеству секретов и запросов) Категория: PS Версия / издание: 10 марта 2025г. Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
Open Policy Agent (OPA)Описание: Универсальный движок политик, позволяющий централизованно описывать и применять правила доступа и безопасности (Rego) для микросервисов, Kubernetes, API‑шлюзов и инфраструктуры. Направление: Secrets Management Вендор: OPA project / CNCF Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, Decision logs Методы обнаружения: Rego policy evaluation, Audit logging Ссылка: https://openpolicyagent.org |
|||
Nexus Repository ManagementНаправление: Secrets Management Вендор: Sonatype Категория: PS Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Ссылка: https://www.sonatype.com/products/sonatype-nexus-repository |
CasbinОписание: Библиотека авторизации, реализующая различные модели контроля доступа (ACL, RBAC, ABAC), с собственным форматом политик и веб‑интерфейсом для управления ими. Направление: Secrets Management Вендор: Casbin Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: policy files (CONF, CSV) Методы обнаружения: ACL, RBAC, ABAC, RESTful policies Ссылка: https://github.com/casbin/casbin |
|||
ЦУП 2.0Описание: Отечественное решение для управления инфраструктурными секретами организации. Обеспечивает безопасное хранение и распространение секретов, а также предоставляет контроль за использованием доступов в сложных, высоконагруженных IT-инфраструктурах. Направление: Secrets Management Вендор: ООО "АТ Консалтинг" Лицензия: Enterprise Категория: PS Версия / издание: 2.0 Сертификация ФСТЭК: Есть, сертификат ФСТЭК России №4921 от 25.03.2025 Доступность в РФ: Доступен |
PermifyОписание: Authorization‑as‑a‑service решение, вдохновлённое Google Zanzibar, для построения централизованной, масштабируемой, гранулярной системы прав доступа. Направление: Secrets Management Вендор: Permify Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON (API), audit logs Методы обнаружения: relationship‑based access control, Zanzibar‑подобные политики |
|||
OpenFGAОписание: Высокопроизводительный движок авторизации с тонкой настройкой прав (fine‑grained authorization), реализующий модель, вдохновлённую Google Zanzibar. Направление: Secrets Management Вендор: OpenFGA Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON (API), audit logs Методы обнаружения: relationship‑based authorization, policy evaluation |
||||
OPAL (Open Policy Administration Layer)Описание: Сервис для управления и доставки политик и данных в policy‑агенты (OPA, Cedar и др.) в режиме реального времени. Направление: Secrets Management Вендор: Permit.io Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON (API), logs Методы обнаружения: policy distribution, real‑time updates Ссылка: https://github.com/permitio/opal |
||||
HashiCorp Vault (OSS)Описание: Источник‑доступное решение для управления секретами, ключами шифрования и токенами, обеспечивающее аудит доступа и динамическую выдачу учётных данных. Направление: Secrets Management Вендор: HashiCorp Лицензия: BUSL / MPL (OSS core) Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: JSON (API), audit logs Методы обнаружения: RBAC policies, secret lease/rotation, audit trail |
||||
WazuhОписание: Платформа безопасности и управления событиями (SIEM/ХIDS) с открытым исходным кодом: сбор логов, корреляция событий, управление политиками и мониторинг целостности. Направление: Secrets Management Вендор: Wazuh Inc. Лицензия: GPL-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, dashboards (Kibana/OpenSearch) Методы обнаружения: log analysis, file integrity monitoring, intrusion detection, policy compliance Ссылка: https://github.com/wazuh/wazuh |
||||
Security OnionОписание: Дистрибутив для мониторинга безопасности сети и хоста, включающий IDS/IPS, full‑packet‑capture, анализ логов и дашборды. Направление: Secrets Management Вендор: Security Onion Solutions Лицензия: GNU GPL / mixed OSS Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: Dashboards, PCAP, JSON logs Методы обнаружения: IDS/IPS, NSM, log correlation Ссылка: https://github.com/Security-Onion-Solutions/securityonion |
||||
Elastic Stack (Elastic Security)Описание: Набор продуктов Elasticsearch‑Kibana‑Beats‑Logstash, используемый как бесплатное SIEM‑решение для корреляции событий, detection‑правил и управления инцидентами. Направление: Secrets Management Вендор: Elastic Лицензия: SSPL / Elastic License, с OSS‑компонентами Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: JSON, dashboards, alerts Методы обнаружения: rule‑based detection, anomaly detection, correlation rules |
||||
SPIFFE / SPIREОписание: Стек для управления идентичностями сервисов: стандартизированные SVID‑сертификаты и сервер/агенты SPIRE для автоматического выдачи и ротации. Направление: Secrets Management Вендор: CNCF / SPIFFE Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: x509 SVID, JWT SVID, logs Методы обнаружения: workload attestation, identity issuance Ссылка: https://github.com/spiffe/spire |
||||
KeycloakОписание: Сервер идентификации и доступа, предоставляющий SSO, OAuth2/OIDC, управление ролями и политиками доступа к приложениям и API. Направление: Secrets Management Вендор: Red Hat / Community Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON (tokens, audit logs), admin console Методы обнаружения: RBAC/realm roles, policy rules, authN/authZ flows |
||||
OSSECОписание: Хост‑ориентированная система обнаружения вторжений (HIDS) с функциями анализа логов, контроля целостности и оповещения. Направление: Secrets Management Вендор: OSSEC Foundation Лицензия: GPL license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: logs, email alerts, JSON (через интеграции) Методы обнаружения: log correlation, rootkit detection, file integrity monitoring |
||||
SuricataОписание: Движок IDS/IPS и сетевого мониторинга, выполняющий глубокий анализ трафика, сигнатурное и поведенческое обнаружение угроз. Направление: Secrets Management Вендор: OISF Лицензия: GPL-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: EVE JSON, PCAP, alerts Методы обнаружения: IDS/IPS rules, protocol detection, flow analysis Ссылка: https://github.com/OISF/suricata |
||||
ZeekОписание: Платформа сетевой безопасности, занимающаяся высокоуровневым анализом трафика и генерацией богатых логов для дальнейшей корреляции и расследований. Направление: Secrets Management Вендор: Zeek Project Лицензия: BSD license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: structured logs, JSON (через интеграции) Методы обнаружения: protocol analyzers, custom scripts & policies Ссылка: https://github.com/zeek/zeek |
||||
Trivy Operator (Kubernetes)Описание: Оператор Kubernetes, который использует Trivy для непрерывного сканирования кластеров и образов, интегрируясь с Kubernetes API для управления результатами и политиками. Направление: Secrets Management Вендор: Aqua Security Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Kubernetes CRD, JSON, Prometheus metrics Методы обнаружения: vulnerability scanning, config audit, RBAC misconfig detection |
||||
kube-bench (as security governance)Описание: Инструмент проверки Kubernetes на соответствие CIS‑бенчмаркам, применяемый для управления политиками и аудита конфигураций кластеров. Направление: Secrets Management Вендор: Aqua Security Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, YAML, JUnit Методы обнаружения: CIS Kubernetes Benchmark checks |
||||
| MLSecOps | СitadelОписание: Масштабируемая совместная ML‑система, которая с помощью Intel SGX защищает конфиденциальность как владельца данных, так и владельца модели в недоверенных инфраструктурах Направление: MLSecOps Вендор: В данный момент не продается Лицензия: Enterprise Категория: PS Сертификация ФСТЭК: Нет Доступность в РФ: Информация не найдена Форматы отчетов: Веб-интерфейс Ссылка: https://citadel-ai.com/ |
AdvboxОписание: Набор инструментов для генерации целенаправленных примеров, обманывающих нейронные сети, использующие библиотеки PaddlePaddle, PyTorch, Caffe2, MxNet, Keras и TensorFlow. Является утилитой командной строки для генерации примеров без написания кода Направление: MLSecOps Вендор: Baidu Open Source Лицензия: Apache-2.0 license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Терминал |
||
GuardianОписание: Инструмент, предназначенный для формирования внутренних политик и правил работы с ML и LLM внутри организации (AI governance & compliance). Позволяет формализовать процессы использовании ИИ и фильтровать выходные данные моделей, сохраняя при этом приватность пользователей Направление: MLSecOps Вендор: AI Guardian Лицензия: Trial, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен(?) Форматы отчетов: Веб-интерфейс Методы обнаружения: Информация не найдена Ссылка: https://www.aiguardianapp.com/ |
ARX deidentifierОписание: Решение для сокрытия чувствительной информации (персональных данных). В решении используются синтаксические (k-anonymity, ℓ-diversity, t-closeness, δ-presence) и семантические ((ɛ, δ)-differential privacy) модели приватности Направление: MLSecOps Вендор: ARX Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 3.9 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Графический интерфейс Методы обнаружения: k-anonymity, ℓ-diversity, t-closeness, δ-presence, (ɛ, δ)-differential privacy |
|||
AppSec.GenAIОписание: Умный сканер обнаружения уязвимостей для защиты данных и моделей машинного обучения. Он разработан для повышения киберустойчивости взаимодействий с большими языковыми моделями на всех этапах их жизненного цикла (SSDLC). Направление: MLSecOps Вендор: ООО «АппСек Солюшенс» Лицензия: SaaS, On-Premise Категория: PS Версия / издание: 25.4.2 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, CSV, DOCX, PDF Методы обнаружения: Информация не найдена Ссылка: https://appsec-genai.ru/ |
FoolboxОписание: Библиотека Python, которая упрощает проведение атак на модели машинного обучения (глубокие нейронные сети). Основана на фреймворке EagerPy и работает с моделями в PyTorch, TensorFlow и JAX. Направление: MLSecOps Вендор: Bethgelab Лицензия: MIT license Категория: OSS Версия / издание: 3.3 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Терминал Методы обнаружения: Информация не найдена |
|||
Guard-aiНаправление: MLSecOps Вендор: Deloitte Категория: PS Доступность в РФ: Недоступен Ссылка: https://www.deloitte.com/an/en/services/risk-advisory/services/guard-ai.html |
PyRITОписание: Библиотека для оценки LLM‑эндпоинтов на уязвимость к prompt инъекциям и другим рискам, связанным с LLM. Направление: MLSecOps Вендор: Azure Лицензия: MIT license Категория: OSS Версия / издание: 0.10.0rc0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Ссылка: https://github.com/Azure/PyRIT |
|||
АI-guardОписание: Программное решение, предназначенное для обеспечения защиты персональных данных. Оно позволяет защищать сканы удостоверений личности, паспортов, водительских прав, MRZ‑зон, банковских карт, штрихкодов, деловых документов используемые в моделях машинного обучения в соответствии с требованиям GDPR и CCPA Направление: MLSecOps Вендор: AI SERVICE LLC Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Информация не найдена Ссылка: https://aiservice.am/ |
Adversarial_ml_ctfОписание: Репозиторий позволяющий развернуть лабораторное задание в рамках CTF. Основная задача - залогиниться на уязвимый веб-сайт путем взлома нейронной модели, вшитой в backend, которая позволяет аутентифицировать пользователей по их изображению. Направление: MLSecOps Вендор: Artur Miller a.k.a. arturmiller Лицензия: Отсутствует Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
model-scannerОписание: Инструмент в составе AI Security Platform, предназначенный для контроля и управления supply chain в области ИИ. Обнаруживает вредоносное ПО, подмену и скрытые уязвимости до развертывания с использованием агентов и моделей машинного обучения из публичных репозиториев Направление: MLSecOps Вендор: HiddenLayer Inc Лицензия: Demo, Подписка Категория: PS Сертификация ФСТЭК: Нет Доступность в РФ: Информация не найдена Методы обнаружения: AI agent, machine learning models |
AugLyОписание: Библиотека аугментаций данных, поддерживающая аудио, видео, текст и изображения в качестве типов данных. Используется для аугментации данных при обучении моделей, а также оценки пробелов в их устойчивости Направление: MLSecOps Вендор: Meta Лицензия: Meta custom license Категория: OSS Версия / издание: 1.0.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
PatronusОписание: Платформа для оценки и оптимизации AI‑моделей и продуктов на основе LLM. Предназначена для систематического тестирования и оценки качества работы создаваемых моделей перед выпуском в прод и во время эксплуатации Направление: MLSecOps Вендор: Patronus AI Лицензия: Free, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Ссылка: https://www.patronus.ai/ |
GarakОписание: Blackbox сканер уязвимостей для LLM моделей. Комбинирует статические, динамические и адаптивные попытки для отказа нейронных сетей во время диалога с пользователем Направление: MLSecOps Вендор: NVIDIA Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 0.13 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Терминал Методы обнаружения: Информация не найдена Ссылка: https://github.com/leondz/garak |
|||
advai-versusОписание: Набор иструментов, используемый разработчиками для стресс‑тестирования и оценки AI‑систем. Инструмент интегрируется в MLOps‑архитектуру. Направление: MLSecOps Вендор: Advai Limited Лицензия: Информация не найдена Категория: PS Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен(?) |
ModelScanОписание: Инструмент для обнаружения уязвимостей и ошибок, связанных с сериализацией в моделях машинного обучения Направление: MLSecOps Вендор: Protect AI Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 0.8.7 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
modelscanОписание: Инструмент для проведения статического анализа кода с целью обнаружения уязвимостей и ошибок, связанных с сериализацией в моделях машинного обучения Направление: MLSecOps Вендор: Protect AI Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Интерфейс, H5, Pickle, SavedModel Методы обнаружения: Pytorch, Tensorflow, Keras, Scikit learn Ссылка: https://protectai.com/modelscan |
Raze_to_the_ground_aisec23Описание: Решение, представленное на конференции AISec 2023. Необходимо для создания HTML атак на детекторы фишинговых веб-страниц с использованием моделей машинного обучения Направление: MLSecOps Вендор: AdvMLPhish Лицензия: Отсутствует Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Ссылка: https://github.com/advmlphish/raze_to_the_ground_aisec23 |
|||
Protect AI Platform (Guardian / Layer / Recon)Описание: Платформа для безопасности ИИ‑систем, включающая модули Guardian (governance и zero‑trust для моделей), Layer (end‑to‑end защита LLM на всём жизненном цикле) и Recon (автоматизированный red teaming). Направление: MLSecOps Вендор: Protect AI Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API), отчёты об оценке рисков Методы обнаружения: model & data risk assessment, LLM red teaming, AI security posture management Ссылка: https://protectai.com |
AdvertorchОписание: Набор Python инструментов для исследований в области устойчивости LLM к атакам . Основные функциональные возможности реализованы в PyTorch. Направление: MLSecOps Вендор: RBC Borealis Лицензия: LGPL-3.0/GPL-3.0 licenses Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Mindgard PlatformОписание: Платформа для red teaming и hardening моделей ИИ, фокусирующаяся на оценке уязвимостей и защите LLM, multi‑modal и агентных систем на этапах разработки и эксплуатации. Направление: MLSecOps Вендор: Mindgard Лицензия: Enterprise, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, API Методы обнаружения: adversarial testing, runtime threat detection, model hardening recommendations Ссылка: https://mindgard.ai |
Awesome-MLSecOpsОписание: Список open-source решений, ресурсов и обучающих материалов в области MLSecOps Направление: MLSecOps Вендор: RiccardoBiosas Лицензия: MIT license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
CalypsoAI PlatformОписание: Решение для безопасности LLM‑приложений, включающее автоматизированный red teaming (Inference Red‑Team) и адаптивную защиту на рантайме (Inference Defend) с интеграцией в существующие SOC‑процессы. Направление: MLSecOps Вендор: CalypsoAI Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API) Методы обнаружения: prompt injection, data leakage, toxic output, policy violations Ссылка: https://calypsoai.com |
GiskardОписание: Python библиотека, которая автоматически выявляет уязвимости в моделях ИИ — от табличных моделей до LLM, включая ошибки производительности, утечки данных, ложные корреляции, галлюцинации и токсичность Направление: MLSecOps Вендор: Giskard-AI Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 2.18 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Apex AI SecurityОписание: Платформа безагентной защиты LLM‑приложений, копилотов и GenAI‑порталов, обеспечивающая мониторинг активности, предотвращение утечек и автоматическое применение политик. Направление: MLSecOps Вендор: Apex Лицензия: SaaS, подписка Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, API, алерты для SIEM/SOAR Методы обнаружения: AI threat detection, policy enforcement, data loss prevention Ссылка: https://apex.com |
NB DefenseОписание: Сканер для Jupyter Notebook, который позволяет обнаруживать секреты и уязвимости (CVE) во импортируемых библиотеках, а также неверные конфигурации в файлах 'ipynb' Направление: MLSecOps Вендор: Protect AI Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 1.0.5 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Aim Security PlatformОписание: Решение для управления рисками при использовании ИИ, обеспечивающее инвентаризацию AI‑приложений, контроль потоков данных и реализацию политик доступа в реальном времени. Направление: MLSecOps Вендор: Aim Security Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API) Методы обнаружения: shadow AI discovery, data flow visibility, policy & compliance enforcement Ссылка: https://www.aim.security |
SafetensorsОписание: Новый формат для сериализации произвольных объектов, разработанный Huggingface. Является альтернативой pickle Направление: MLSecOps Вендор: Huggingface Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 0.7.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Securiti Data Command Center (AI Security)Описание: Платформа DSPM/AI‑security, объединяющая управление данными и ИИ: формирует knowledge graph по данным и AI‑объектам, управляет доступом и защищает LLM‑взаимодействия с учётом регуляторных требований. Направление: MLSecOps Вендор: Securiti Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API), отчёты по комплаенсу Методы обнаружения: LLM firewall, data lineage & classification, privacy & AI governance Ссылка: https://securiti.ai |
AdvmlthreatmatrixОписание: База уязвимостей LLM от MITRE organisation. Проект заключается в создании матрицы угроз на ML процессы аналогичной MITRE ATT&CK Направление: MLSecOps Вендор: MITRE Лицензия: Отсутствует Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
TestSavantAIОписание: Платформа защиты генеративных AI‑приложений, специализирующаяся на автоматическом сканировании и обнаружении отравления данных, prompt‑инъекций, токсичных и небезопасных ответов. Направление: MLSecOps Вендор: TestSavantAI Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, API Методы обнаружения: prompt injection, data poisoning, toxic output, compliance violations Ссылка: https://testsavant.ai |
CleverHansОписание: Библиотека Python содержащая примеры для построения LLM атак, разработки защиты от них и бенчмаркинга угроз. Направление: MLSecOps Вендор: CleverHans lab Лицензия: MIT license Категория: OSS Версия / издание: 4.0.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
TensorOpera AI PlatformОписание: Платформа для разработки и безопасного развертывания генеративных AI‑приложений, включающая безопасные API агентов, защищённую инфраструктуру тренировки и деплоя моделей, а также отслеживание экспериментов. Направление: MLSecOps Вендор: TensorOpera Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, API, отчёты об экспериментах Методы обнаружения: secure model deployment, access controls, supply‑chain controls для моделей Ссылка: https://tensoropera.ai |
KnockoffnetsОписание: PoC решение созданное для проведения Blackbox атак на генеративные модели с целью кражи данных об их внутреннем строении и используемой семантике Направление: MLSecOps Вендор: tribhuvanesh Лицензия: LGPL-3.0 license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Pillar Security PlatformОписание: Платформа для управления рисками по всему жизненному циклу AI‑агентов: обеспечивает обнаружение активов, оценку рисков, адаптивные guardrails для рантайма и управление доступом. Направление: MLSecOps Вендор: Pillar Security Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API) Методы обнаружения: continuous risk assessment, runtime guardrails, RBAC для AI‑систем Ссылка: https://www.pillar.security |
GuardrailsОписание: Набор инструментов для добавления защитных ограничений (guardrails) в диалоговые LLM системы. Такими ограничениями могут являться защита вывода от нежелательных вопросов (например, политика), предотвращение нарушения предопределенных путей диалога, обработка специфический запросов пользователей и т.д. Направление: MLSecOps Вендор: NVIDIA-NeMo Лицензия: NVIDIA custom license Категория: OSS Версия / издание: 0.19.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Wiz AI-SPMОписание: Модуль Wiz для управления позицией безопасности AI‑систем (AI‑SPM): строит AI‑BOM, анализирует риски adversarial‑атак, кражи модели и отравления данных на всём пути LLM‑пайплайна. Направление: MLSecOps Вендор: Wiz Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API) Методы обнаружения: adversarial risk, model theft, data poisoning, exposure mapping через AI‑BOM |
Stealing_DL_Models (Copycat CNN)Описание: Репозиторий, в котором подробно рассматривается Copycat CNN - атаки с целью кражи нейросетевых моделей методом черного ящика, не имея доступа ни к весам, ни к обучающим данным. Атака строится на возможности массовой отправки различных изображений модели на обработку с целью их последующего использования для создания датасета и получения копии атакуемой модели Направление: MLSecOps Вендор: Jeiks Лицензия: Отсутствует Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Cobalt AI Security AutomationОписание: Платформа автоматизации безопасности ИИ‑систем с возможностями real‑time обнаружения угроз, оркестрации ответных действий и интеграцией с существующими SOC‑инструментами. Направление: MLSecOps Вендор: Cobalt AI Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, JSON (API), алерты Методы обнаружения: runtime anomaly detection, policy enforcement, automated response workflows Ссылка: https://www.cobaltai.com |
Ai-exploitsОписание: Набор практик атак и известных уязвимостей инструментов, фреймворков и библиотек, используемых для построения LLM моделей. Собран специалистами Protect AI и участниками bug-bounty программы 'Huntr' Направление: MLSecOps Вендор: Protect AI Лицензия: Apache-2.0 license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Superblocks LLM Security ControlsОписание: Набор практик и контролей в платформе Superblocks для интеграции безопасных LLM‑функций в корпоративные приложения, включая фильтрацию запросов, DLP и аудит. Направление: MLSecOps Вендор: Superblocks Лицензия: SaaS Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: Веб-интерфейс, логи, JSON (API) Методы обнаружения: prompt filtering, data loss prevention, usage logging & auditing Ссылка: https://www.superblocks.com |
DamnVulnerableLLMProjectОписание: Уязвимый проект на базе LLM, сделанный для обучения и практики в области безопасности LLM‑систем. Направление: MLSecOps Вендор: Reversec Labs Лицензия: Apache-2.0 license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Ссылка: https://github.com/ReversecLabs/damn-vulnerable-llm-agent |
|||
Genta Secure LLM Architecture ServicesОписание: Консультационно‑платформенный продукт, предлагающий безопасные архитектурные паттерны для деплоя LLM в VPC или on‑prem: least‑privilege доступ, private gateways, human‑in‑the‑loop и сопоставление с ISO/IEC 42001. Направление: MLSecOps Вендор: Genta Лицензия: Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: архитектурные схемы, отчёты, JSON (API) при интеграции Методы обнаружения: архитектурная оценка рисков, контроль доступа, audit‑ready дизайн |
LintMLОписание: Приложение, использующее статический анализ кода для поиска потенциальных рисков безопасности в проектах машинного обучения Направление: MLSecOps Вендор: JosephTLucas Лицензия: GPL-3.0 license Категория: OSS Версия / издание: 0.0.5 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: cli |
|||
MLSecOps.com Community PlatformОписание: Комьюнити‑платформа и обучающий хаб по MLSecOps, предоставляющая методологии, best practices и интеграции с инструментами безопасности для ML/LLM по всему жизненному циклу. Направление: MLSecOps Вендор: MLSecOps Community Лицензия: Информация не найдена Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс, обучающие материалы Методы обнаружения: методологические фреймворки, гайдлайны по защите ML‑пайплайнов Ссылка: https://mlsecops.com |
OpenAttackОписание: Набор инструментов, написанных на Python, для реализации всего процесса атак путем зломанеренного манипулирования данными (включая предобрабоику текста, доступ к атакуемой модели, генерацию адверсариальных атак и их оценку) Направление: MLSecOps Вендор: Thunlp Лицензия: MIT license Категория: OSS Версия / издание: 2.1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
Securiti LLM FirewallОписание: Компонент платформы Securiti, предоставляющий контекстно‑осведомлённый LLM‑файрвол для защиты взаимодействий с моделями, включая анализ содержимого запросов и ответов и применение политик доступа к данным. Направление: MLSecOps Вендор: Securiti Лицензия: SaaS, Enterprise Категория: PS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: логи, JSON (API), дашборды Методы обнаружения: prompt & response inspection, data governance rules, toxicity & PII detection |
Tensorflow Model-analysisОписание: Библиотека для проверки моделей, созданных с помощью Tensorflow. Позволяет оценить поведение модели при вводе большого количества данных в случайном порядке Направление: MLSecOps Вендор: Tensorflow Лицензия: Apache-2.0 license Категория: OSS Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
|||
AiGoatОписание: Специально уязвимая AI инфраструктура, развернутая на AWS, с целью симуляции уязвимостей, описанных в OWASP ML Top 10 Направление: MLSecOps Вендор: orcasecurity Лицензия: Apache-2.0 license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
Deep-pwningОписание: легковесный фреймворк для экспериментов с моделями машинного обучения с целью оценки их устойчивости перед потенциальным злоумышленником. В данный момент продукт все еще доводится до ума Направление: MLSecOps Вендор: Cchio Лицензия: MIT license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
ML_security_study_mapОписание: Полноценнный гайд и дорожная карта (roadmap), посвященные развитию навыков и компетенций в области AI security Направление: MLSecOps Вендор: Артем Семенов a.k.a. wearetyomsmnv Лицензия: Отсутствует Категория: OSS Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Ссылка: https://github.com/wearetyomsmnv/AI-LLM-ML_security_study_map |
||||
PallmsОписание: Payloads for Attacking Large Language Models или PALLMs - собранный набор полезных нагрузок (payloads) для проведжения атак на LLM сети Направление: MLSecOps Вендор: Mik0w Лицензия: MIT license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Ссылка: https://github.com/mik0w/pallms |
||||
TensorFlow PrivacyОписание: Python библиотека, содержащая оптимизаторы Tensorflow для обучения моделей машинного обучения с использованием подхода дифференциальной приватности. В данный момент библиотека развивается и дорабатывается Направление: MLSecOps Вендор: Tensorflow Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 0.8.12 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
AnonLLMОписание: Python пакет, разработанный для анонимизации персональных данных в тексте перед их отправкой в API диалоговых LLM моделей Направление: MLSecOps Вендор: Fsndzomga Лицензия: Отсутствует Категория: OSS Версия / издание: 0.1.10 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
Differential-privacy-libraryОписание: Библиотека от IBM для применения дифференциальной приватности в анализе данных и классическом ML Направление: MLSecOps Вендор: IBM Лицензия: MIT license Категория: OSS Версия / издание: 0.6 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
MLSploitОписание: Облачная система, позволяющая исследователям быстро оценивать и сравнивать передовые методы атаки и методы защиты для моделей машинного обучения Направление: MLSecOps Вендор: Georgia Tech & Intel Лицензия: BSD-3-Clause license Категория: OSS Версия / издание: 0.1.3 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Веб-интерфейс Ссылка: https://github.com/mlsploit |
||||
Privacy MeterОписание: Библиотека, предназначенная для аудита приватности данных. Инструмент позволяет проводить оценку влияния на защиту данных на основе передовых атак по определению принадлежности к обучающему набору Направление: MLSecOps Вендор: privacytrustlab (National university of Singapore) Лицензия: MIT license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
TextAttackОписание: Python‑фреймворк для проведения атак на модели, аугментации данных и обучения моделей в задачах обработки естественного языка (NLP). Направление: MLSecOps Вендор: QData Лицензия: MIT license Категория: OSS Версия / издание: 0.3.10 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Tty |
||||
ART(Adversarial-robustness-toolbox)Описание: Python‑библиотека для обеспечения безопасности моделей машинного обучения. Поддерживает все популярные фреймворки машинного обучения (TensorFlow, Keras, PyTorch, scikit-learn, XGBoost, LightGBM, CatBoost, GPy) Направление: MLSecOps Вендор: Trusted-AI Лицензия: MIT license Категория: OSS Версия / издание: 1.20 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Ссылка: https://github.com/Trusted-AI/adversarial-robustness-toolbox |
||||
Fml-securityОписание: Репозиторий, связанный с докладом «Secure Machine Learning at Scale with MLSecOps». Описывает лучшие практики обеспечения безопасности, применяемые на всех стадиях машинного обучения Направление: MLSecOps Вендор: EthicalML Лицензия: Отсутствует Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
Model-Inversion-Attack-ToolBoxОписание: Бенчмарк на Python предназначенный для моделирования инверсивных атак. Направление: MLSecOps Вендор: Ffhibnese Лицензия: Отсутствует Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Ссылка: https://github.com/ffhibnese/Model-Inversionм-Attack-ToolBox |
||||
PromptInjectОписание: Фреймворк, который модульным образом конструирует промпты, чтобы проводить количественный анализ устойчивости больших языковых моделей (LLM) к атакующим промпт‑атакам Направление: MLSecOps Вендор: AE enterprise Лицензия: MIT license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
TextFoolerОписание: Инструмент для проведения адверсариальных атак на текстовые модели (в основном для задач NLP Направление: MLSecOps Вендор: Di Jin a.k.a. jind11 Лицензия: MIT license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
VgerОписание: Консольное приложение для постэксплуатации аутентифицированных инстансов Jupyter с фокусом на атаки в области ИИ/машинного обучения. Направление: MLSecOps Вендор: JosephTLucas Лицензия: GPL-3.0 license Категория: OSS Версия / издание: 0.2.6 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: Терминал |
||||
Vigil-llmОписание: Совокупность Python библиотеки и REST API для оценки промптов и ответов больших языковых моделей. Позволяет обнаруживать prompt injection, jailbreak‑атак и другие потенциальные угрозы. Направление: MLSecOps Вендор: Deadbits Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 0.10.3 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
WatchtowerОписание: Решение для обновления запущенных контейнеров в инфраструктуре путем операции push для нового образа сразу в Docker Hub или локальный registry Направление: MLSecOps Вендор: containrrr Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 1.7.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
Аudit-aiОписание: Python библиотека построенная поверх pandas и sklearn, которая реализует алгоритмы машинного обучения с учетом справедливости (fairness-aware) Направление: MLSecOps Вендор: pymetrics Лицензия: MIT license Категория: OSS Версия / издание: 0.1.1 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
awesome-security-for-aiОписание: Cтруктурированный каталог материалов по безопасности и защите AI/ML‑систем Направление: MLSecOps Вендор: TalEliyahu Лицензия: MIT license Категория: OSS Версия / издание: v1.0 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен |
||||
RebuffОписание: Фреймворк для защиты LLM‑приложений от prompt‑инъекций и jailbreak‑атак, включающий фильтры и эвристики для проверки входных и выходных сообщений. Направление: MLSecOps Вендор: Protect AI Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: JSON, лог‑формат Методы обнаружения: prompt injection, jailbreak, output abuse patterns |
||||
NeMo GuardrailsОписание: Фреймворк для создания программируемых защитных ограничений (guardrails) вокруг LLM‑приложений, позволяющий фильтровать небезопасные запросы и ответы и ограничивать поведение модели. Направление: MLSecOps Вендор: NVIDIA Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 0.19.0 Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: JSON логи, policy‑файлы Методы обнаружения: prompt injection, jailbreak, policy violations |
||||
Purple Llama Llama GuardОписание: Модели модерации вводов и выводов LLM для фильтрации токсичного контента, утечек секретов и вредоносных запросов. Направление: MLSecOps Вендор: Meta Лицензия: Custom open license Категория: OSS Версия / издание: Llama Guard 3 Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: JSON, лог‑формат Методы обнаружения: toxicity, self‑harm, PII leakage, dangerous prompts |
||||
Purple Llama Prompt GuardОписание: Компонент Purple Llama для защиты от вредоносных промптов и prompt‑инъекций, анализирующий и нормализующий запросы перед отправкой в модель. Направление: MLSecOps Вендор: Meta Лицензия: Custom open license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: JSON, лог‑формат Методы обнаружения: prompt injection, indirect prompt attacks, policy‑breaking requests |
||||
Purple Llama Code ShieldОписание: Инструмент фильтрации небезопасного кода при генерации LLM, помечающий потенциально уязвимые фрагменты и использование секретов. Направление: MLSecOps Вендор: Meta Лицензия: Custom open license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: JSON, аннотации коду Методы обнаружения: insecure code patterns, hardcoded secrets, опасные API |
||||
CyberSecEvalОписание: Набор open‑source бенчмарков для оценки безопасности LLM, проверяющий устойчивость к prompt‑инъекциям, генерации вредоносного кода, фишингу и другим атакам. Направление: MLSecOps Вендор: Meta Лицензия: Custom open license Категория: OSS Версия / издание: v3 Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: JSON, табличные отчёты Методы обнаружения: prompt injection, code abuse, cyber‑attack patterns Ссылка: https://github.com/meta-llama/PurpleLlama/tree/main/CyberSecEval |
||||
CodeGateОписание: Security‑прокси между IDE и LLM‑сервисами, предотвращающий утечки секретов и анализирующий генерируемый код на небезопасные зависимости и паттерны. Направление: MLSecOps Вендор: Stacklok Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: JSON логи, IDE‑нотификации Методы обнаружения: secret leakage, insecure dependencies, insecure code |
||||
Sigstore (cosign для ML)Описание: Набор инструментов для подписи и валидации контейнеров, артефактов и моделей (через cosign и др.), уменьшающий риски атак на цепочку поставок ML. Направление: MLSecOps Вендор: Sigstore / OpenSSF Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: подписи и метаданные, JSON Методы обнаружения: supply‑chain integrity, signature verification Ссылка: https://www.sigstore.dev |
||||
OpenSSF ScorecardОписание: Инструмент автоматизированной оценки безопасности репозиториев, применимый к ML/MLOps‑проектам для проверки практик разработки и цепочки поставок. Направление: MLSecOps Вендор: OpenSSF Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, SARIF, табличный отчёт Методы обнаружения: branch protection, CI security, dependency management, signed releases |
||||
MetaflowОписание: Фреймворк для построения MLOps‑конвейеров, обеспечивающий трассировку шагов и версионирование артефактов и рекомендуемый в гайдлайнах по безопасной ML‑цепочке поставок. Направление: MLSecOps Вендор: Netflix / Outerbounds Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: логи и метаданные, JSON API Методы обнаружения: прослеживаемость пайплайнов, контроль артефактов |
||||
AIShield WatchtowerОписание: Инструмент для анализа уязвимостей моделей ИИ: оценивает устойчивость к адверсариальным примерам, атакам извлечения модели и отравлению данных. Направление: MLSecOps Вендор: AIShield Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Ограничен Форматы отчетов: JSON, логи, визуальные отчёты Методы обнаружения: adversarial robustness, model extraction, poisoning |
||||
VigilОписание: Python‑библиотека и REST API для тестирования и мониторинга моделей на предмет устойчивости, утечек данных и других рисков безопасности. Направление: MLSecOps Вендор: Protect AI Лицензия: Apache-2.0 license Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Недоступен Форматы отчетов: JSON, лог‑формат Методы обнаружения: robustness checks, privacy leakage tests, consistency checks |
||||
LLAMATORОписание: Фреймворк для тестирования и укрепления LLM‑систем, включающий сценарии атак и проверки устойчивости, с возможностью интеграции в MLOps‑конвейер. Направление: MLSecOps Вендор: Сообщество Лицензия: Различные OSS‑лицензии по модулям Категория: OSS Версия / издание: Информация не найдена Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, табличные отчёты Методы обнаружения: prompt injection, data leakage, robustness checks |
||||
ModelScan (расширенный профиль)Описание: CLI‑утилита для сканирования моделей и артефактов (pickle, ONNX и др.) на вредоносный или небезопасный код, применяемая для защиты ML‑цепочки поставок. Направление: MLSecOps Вендор: Protect AI Лицензия: Apache-2.0 license Категория: OSS Версия / издание: 0.8.7 Сертификация ФСТЭК: Нет Доступность в РФ: Доступен Форматы отчетов: JSON, CLI вывод Методы обнаружения: model malware detection, insecure deserialization, supply‑chain issues |